Проверка на слив: Google сделает ваши пароли безопаснее

21.02.2019 13531

–

Новости о сливе новой базы паролей появляются несколько раз в год. Google придумал, как сделать пароли безопаснее, и реализовал это в расширении Password Checkup для браузера Chrome.

Как это работает

После установки расширение будет предупреждать, если вы вводите небезопасный пароль. Когда входите в учетную запись на сайте, расширение сравнивает ваши данные с записями из своей базы.

В базе накопилось более 4 млрд логинов и паролей, которые компания считает подозрительными. Если найдено совпадение, расширение покажет окно с предупреждением и рекомендацией сменить пароль.

Разработчики заявили, что создавали расширение совместно с экспертами по криптографии из Стэнфорда. При проверке ваши данные шифруются, так что даже у Google нет к ним доступа.

Минусы сервиса

Password Checkup не использует интеллектуальные механизмы при анализе паролей. Таким образом, если вы введете простую комбинацию вроде «12345», но ее не окажется в базе, расширение не предупредит об опасности.

К тому же оно предназначено только для одного браузера. То есть пароли в мессенджере или почтовом клиенте проверятся.

Недавно в сети появилась база с данными для входа от 2,7 млрд аккаунтов. Рекомендуем воспользоваться сервисами вроде этого, чтобы вручную проверить свой аккаунт и убедиться, что его нет в списке, доступном хакерам.

#Google #Безопасность

Автор:

Ксения Шестакова Обозреватель

См. также

Google выпустила финальную версию Android 14

–

Новость Android Google ИТ-Новость

Google выпустила новую версию мобильной ОС Android 14. Изменения затронули настройки внешнего вида и безопасности. Были расширены возможности камеры и инструментов для хранения данных.

12.10.2023 891 VKuser24342747 0

Google Chrome начнет поддерживать квантово-устойчивые алгоритмы шифрования

–

Новость Google Безопасность ИТ-Новость

В версии Google Chrome 116 появится поддержка алгоритмов шифрования, устойчивых к попыткам дешифрации при помощи квантовых вычислений. Технология объединяет преимущества классической и инновационной криптографии.

24.08.2023 559 VKuser24342747 0

«Сбер» начнет использовать российские TLS-сертификаты для платежного шлюза

–

Новость Безопасность ИТ-Новость Минцифры

Банк запланировал переход на сертификаты, выпущенные Национальным удостоверяющим центром (НУЦ) Минцифры, на 30 января 2023 года. Клиентам необходимо добавить на свои серверы корневой сертификат ведомства.

30.01.2023 8207 VKuser24342747 1

Утвержден профстандарт специалиста по информационной безопасности

–

Новость Безопасность ИТ-Новость

Новый профстандарт вступит в силу 1 сентября 2023 года. А пока у работодателей в кредитно-финансовой сфере есть время проанализировать трудовой функционал специалистов по ИБ и при необходимости уточнить его.

17.01.2023 9205 user1816563 0

GitHub бесплатно проверит репозитории на наличие секретных токенов

–

Новость GitHub Безопасность ИТ-Новость

ИТ-хостинг запустил систему сканирования общедоступных репозиториев, чтобы предотвратить случайное раскрытие конфиденциальной информации, такой как учетные данные и токены аутентификации.

22.12.2022 8798 VKuser24342747 1

GitHub к концу 2023 года введет обязательную двухфакторную аутентификацию

–

Новость GitHub Безопасность ИТ-Новость

Веб-хостинг потребует от всех пользователей, загружающих код, включить двухфакторную аутентификацию (2FA) для дополнительной защиты своих аккаунтов.

21.12.2022 8280 VKuser24342747 0

Google рассказала о проблемах и преимуществах поддержки разработки на Rust в Android 13

–

Новость Google ИТ-Новость Языки программирования

По итогам внедрения поддержки разработки на Rust снизилось число уязвимостей, связанных с управлением памятью. Инженеры считают, что основное внимание нужно уделить написанию нового кода, а не переписыванию старого.

14.12.2022 7353 VKuser24342747 0

Минцифры запустило систему отслеживания поддельных сайтов

–

Новость Безопасность Интернет ИТ-Новость

Информационная система под названием «Антифишинг» способна обнаруживать мошеннические веб-ресурсы, которые выглядят как официальные сайты госорганов, компаний и соцсетей.

14.06.2022 8513 VKuser24342747 0

Комментарии

Подписаться на ответы Инфостарт бот

Свернуть все

1. Timur.V 79 21.02.19 16:30 Сейчас в теме

реализовал это в расширении Password Checkup для браузера Chrome.
При проверке ваши данные шифруются, так что даже у Google нет к ним доступа.

У создателей (администраторов) сайта нет доступа к данным пользователей ))
Если речь идёт о хешах паролей, то уже есть таблицы хешей паролей (специально для взлома). Понятно, что не всех, а только коротких.
Google прочитает всё, что нужно.

А если вы хотите, чтобы кто-то другой не угадал ваш пароль:
1) длина пароля должны быть 16 символов и больше
2) используйте в пароле Zde39dd20dDFD большие и маленькие буквы + цифры.
Иногда можно ещё использовать специальные символы в пароле @!#$%%^*

Ответить

2. FesenkoA 58 21.02.19 17:28 Сейчас в теме

(1)Дополнение: Есть такой сайт https://howsecureismypassword.net который показывает сколько времени нужно хакерам чтобы брутфорсить ваш пароль. Не рекомендую вводить туда ИМЕННО ВАШИ пароли от популярных сервисов, лучше для теста попробовать что-то похожее на них.

10. Darklight 32 21.02.19 18:13 Сейчас в теме

(2)Что уж очень быстро, данный сайт, читает можно подобрать пароли размером менее 12 символов (без спецсимволов). Например 10 символьный пароль (в разном регистре и с цифрами) можно подобрать за 41 год. Для рядового пользователя - это вполне достаточная безопасность (особенно для паролей, хотя раз в несколько лет) - но в целом, это достаточно быстро. Интересно, какая методика оценки времени. Наверняка - доступные мощности хакеров завышены - небось взяли в расчёт гетерогенную бот-сеть топовых компьютеров из более чем миллиона штук, которые подбирают хеш. Аккаунты обычных пользователей так никто ломать не будет - это очень дорого!

Любопытно - что у этого сервиса время подбора пароля мало зависит от раскладки и наличия простых спецсимолов - в основном только от длины !
Особенно быстро растёт время при использовании специсимволов вне ангийской рассклаки!

Вот Вам и способ сильно усложнить пароль не увеличивая его длину - введите в слово какой-то специмвол, не доступный в английской раскладке - например "№" (проще всего, не меняя раскладку, его ввести с клавиатуры ALT+252 на цифровом блоке или какой-то другой нестандартный символ - например русская ё - ALT+241 и т.п.) - и время подбора такого пароля вырастает очень быстро - если ещё таких символов добавить.... ух как вырастает!
Пароль: ohmygod подбирается мгновенно
Пароль: OhMyGoD подбирается за 2 минуты
Пароль: O#MyG0D подбирается за 7 минут
Пароль: O#_My_G0D подбирается за 4 недели
Пароль: №№G0D№№ подбирается за 1 тысячу лет
Пароль: ohmygod№ подбирается 973 тысчи лет
Пароль: OhMyGoD№ подбирается за 1 миллион лет
Пароль: Oh_My_GoD№ подбирается за 2 триллиона лет
Пароль: Oh№My№GOD№ подбирается за 2 триллиона лет
Пароль: *h№My№@0D№ подбирается за 2 триллиона лет

25. FesenkoA 58 21.02.19 19:00 Сейчас в теме

(10)

Что уж очень быстро, данный сайт, читает можно подобрать пароли размером менее 12 символов (без спецсимволов).

Суперкомпьютер, большая бот сеть. Плюс это на сферическом сервере в вакууме (как я понял), то есть без учета сети, всяких задержек апи, итд. Да, нашей с вами перепиской не будут так тщательно интересоваться, как правило переберут 8 символов + словарь и все.
Кстати, недавно подключался к глав. бухгалтеру КРУПНОЙ конторы, и знаете сколько времени нужно чтобы подобрать пароль к упр.(и бух) базе, которая, кстати, опубликована в вебе?

It would take a computer about
3 HUNDRED PICOSECONDS
to crack your password

Да, нестандарные символы редко проверяют, идея кстати зачет! Можно еще юникодом смайлики на пароль ставить :)

26. Darklight 32 21.02.19 19:01 Сейчас в теме

(25)Вот с юникодом как раз лучше не связываться - вы его просто не введёте легко!

30. user876792 21.02.19 19:21 Сейчас в теме

(26) когда-то давно майлру даже из спецсимволов в пароле поддерживал всего три _ - . не то что юникод

35. Darklight 32 22.02.19 10:52 Сейчас в теме

(30)Вот вот. Ну раньше юникод вообще мало кто поддерживал - сейчас уже другие времена - но лучше всё-таки не заморачиваться с ним! Да и то, что япредложил - про ввод сиволо через ALT- тоже не лучшее решение - да безопасность повышает очень хорогшо - но ввести такой пароль можно будет только с клаиатуры, имеющий такой цифровой блок - без него не ввести!

20. Xershi 1508 21.02.19 18:47 Сейчас в теме

(2) поставил на почту новый пароль:

It would take a computer about

38 BILLION YEARS

to crack your password

3. Darklight 32 21.02.19 17:28 Сейчас в теме

(1) по поводу п.2 где-то видел исследование о длинен пароля - что увеличение длинны от 16 символов (или около того) не приводит к существенному росту безопасности, а скорее наоборот - снижает её. Точно не помню почему - может дело в психологии составления таких паролей? Особенно когда их много и/или приходится часто менять.
Лучше относительно короткий пароль (ну символов 9-12), даже пусть имеющий смысловую интерпретацию, но в разном регистре символов и хотя бы с одной-двмя цифрами - но не в конце/в начале - а где-то посреди фразы или вместо буквы. А если ещё и хотя бы один спецсимвол добавить - пароль будет меганаджен! Но много спецсимволов - это плохо - каждый такой спецсимвол увеличивает сложность запоминания пароля в 2 раза минимум, а то и экспоненциально.

4. Timur.V 79 21.02.19 17:33 Сейчас в теме

(3)
Пароли от wi-fi c длиной 8 символов ломаются, кажется за 2 часа.
А что касается очень длинных паролей, как их запоминать. Можно где-то его хранить на компьютере и менять в нем, при вводе, несколько символов.

5. user876792 21.02.19 17:40 Сейчас в теме

(4)

Можно где-то его хранить на компьютере и менять в нем, при вводе, несколько символов.

Как это спасет от кейлогера?

8. Timur.V 79 21.02.19 17:48 Сейчас в теме

(5)
От кейлогера поможет двухфакторная аутентификация.

9. user876792 21.02.19 17:51 Сейчас в теме

(8) Зачем тогда символы менять при вводе?

22. user876792 21.02.19 18:53 Сейчас в теме

(8)

От кейлогера поможет двухфакторная аутентификация.

А от того же Гугла? Кто может точно сказать что Андроид не читает смс?)

24. Darklight 32 21.02.19 18:58 Сейчас в теме

(22)

А от того же Гугла? Кто может точно сказать что Андроид не читает смс?)

Сергей Брин

29. user876792 21.02.19 19:11 Сейчас в теме

(24) Можно еще посмотреть разрешения стандартных приложений.. которым такие разрешения вообще в принципе не нужны.

34. Darklight 32 22.02.19 10:49 Сейчас в теме

(29)Если гуглу через Андрой нужно будет скрытно читать смс - он не будет это делать через стандартны приложения - он это сделает на уровне ядра! Вот только навряд ли Гуглу нужны эти смс - важную информацию (для Гугла) через них явно никто не будет отправлять!

13. Darklight 32 21.02.19 18:22 Сейчас в теме

(5)ну если через буфер копировать а потом менять пру *-чек (ткнув в новую позицию мышкой) - это высоконадёжно даже против кейлогера (если он, конечно, не специально под вас заточен), ещё можно пользоваться виртуальной клавиатурой (в windows встроена, а многих банков, например, тоже есть прямо на сайте).

14. user876792 21.02.19 18:26 Сейчас в теме

(13) кейлогеров с функцией снятия скрина при клике мышкой разве не бывает?

16. Darklight 32 21.02.19 18:31 Сейчас в теме

(14)Ну, я не знаю - тут нет 100% защиты! Только специальные физические устройства аутентификации дают действительно хорошую защиту! Например через токены аутентификации.

15. Darklight 32 21.02.19 18:26 Сейчас в теме

(4)Ну мне трудно в это поверить (когда пароль из 8-символов написан сложно) - ЕСЛИ ТОЛЬКО ДЛЯ ВЗЛОМА НЕ БУДЕТ ЗАДЕЙСТВОВАНА БОТ-НЕТ СЕТЬ ИЗ МОЩНЫХ КОМПЬЮТЕРОВ ГИГАНТСКИХ РАЗМЕРОВ!

7. user876792 21.02.19 17:46 Сейчас в теме

(3)

может дело в психологии составления таких паролей

генератор паролей + ручное изменение

12. Darklight 32 21.02.19 18:19 Сейчас в теме

(7)Сгенерированные пароли достаточной длинны и сложности очень тяжело запоминать. Ту да - как раз дело в психологии - я об этом написал!

17. user876792 21.02.19 18:33 Сейчас в теме

(12)

Сгенерированные пароли достаточной длинны и сложности очень тяжело запоминать

Смысл их запоминать? Много ли таких паролей сможет запомнить обычный юзер? Менеджер паролей и как вы говорите вставлять случайные символы при копипасте и менять их раз в..

18. Darklight 32 21.02.19 18:35 Сейчас в теме

(17)Это очень сложно - годится только для случаев требующих действительно высокой надёжности! Да и компьютер, например, так разблокировать не получится!

19. user876792 21.02.19 18:40 Сейчас в теме

(18)

Да и компьютер, например, так разблокировать не получится!

Ну один пароль можно и запомнить)

27. Darklight 32 21.02.19 19:02 Сейчас в теме

(19)Лучше eToken хотя бы использовать - блокировка windows его поддерживает!

6. user876792 21.02.19 17:44 Сейчас в теме

(1)

А если вы хотите, чтобы кто-то другой не угадал ваш пароль:
1) длина пароля должны быть 16 символов и больше
2) используйте в пароле Zde39dd20dDFD большие и маленькие буквы + цифры.
Иногда можно ещё использовать специальные символы в пароле @!#$%%^*

От слива это чем поможет?

11. Darklight 32 21.02.19 18:18 Сейчас в теме

(6)Ну, сливают обычно как раз-таки базу хешей из сервиса (а не от пользователя) - и потом её брутфорсят. У пользователя - проще кейлогер поставить!
Но сейчас хеши вроде со случайной добавкой хранятся (уже давно) - их по словарю хешей нереально брутфорсить - только по прямым перебором всех символов - но, мне кажется, это будет намнго дольше, чем показывает сервис https://howsecureismypassword.net

21. user876792 21.02.19 18:50 Сейчас в теме

(11)

мне кажется, это будет намнго дольше, чем показывает сервис https://howsecureismypassword.net

этот сервис вообще непонятно что показывает. восьмизначный числовой пароль будет взломан за 3 миллисекунды причем не важно какая именно будет комбинация цифр. очевидно же что на полный перебор 18473649 и 53741832 уйдет разное количество времени, если начинать например с 00000000 по возрастающей.

23. Darklight 32 21.02.19 18:57 Сейчас в теме

(21)НУ Я, ДУМАЮ, ЧТО ОЦЕНКА СТРОИТСЯ НА ОСНОВЕ БОЛЕЕ ХИТРЫХ АЛГОРИТМОВ. Думаю такие простые пароли просто взламываются по известному хешкоду (словарю) - а там время не сильно зависит даже от длины пароля!

28. user876792 21.02.19 19:05 Сейчас в теме

(23) словарь это разве не набор строк которые тоже нужно перебрать?

33. Darklight 32 22.02.19 10:38 Сейчас в теме

(28)Не совсем.
1. Словари индексированы - поиск по ним идёт по бинарному дереву (как популярный вариант, но это не обязаельно) - поэтому поиск даже по большому словарю по ключу-хешу (длиной, чаще всего не более 128 бит, т.е. по 16 символам, хотя даже применение 1024 битного ключа не принципиально замедлит скорость) среди миллиардов записей идёт доли секунды - в среднем значение находится всего за несколько десятков/сотен/тысяч шагов по дереву (а то и быстрее) - а один шаг это всего лишь несколько тактов микроопроцессора, коих современные микропроцессоры делают триллионы в секунду на ядро.
2. Перебирать строки (даже без индексов) не такая уж трудоёмкая задача. Она не сравнима с тем, сколько времени нужно потратить на вычисление хеша - скажем так - найти среди миллиардов строк одну строку по ключу-хешу на порядок быстрее, чем вычислить этот хеш - и чем длинее битность хеша - тем он медленнее вычисляется (но это замедление от длины хеша будет не сильно расти от длины хеша, как, впрочем и от длинны пароля).
3. Поиск по слварю оченть неплохо распараллеливается по гетерогенным кластерных сетям - с гигантским числом компьютеров! Поэтому можно считать, что первый этап поиска по словарю практически любого размера (при налиичии достаточного числа компьютеров в кластере) по ключу-хешу любой длинны занимает время не более микросекунды! То есть им можно пренебречь!
4. В таком словаре уже наверняка есть все комбинации символов, доступных с клавиатуры на разных языках (но возможно набираемые только в одной языковой раскладке - иначе комбинаций будет слишком много для всех языков), до определённой длинны (увы не знаю какой, но думаю до 6 точно есть, а то и до 8 может быть - ну для английской раскладки, как самой популярной для паролей, уж точно до 8 должны быть все комбинации, а то и больше).

Но в словарь не поместить все пароли - поэтому алгоритм (после прохода по словарю) должен будет перейти к составлению новых версий паролей. Причём в этом случае будет применяться метод реверс-инженеринга - алгоритм будет операться на конечный хеш пароля - и пытаться из него восстановить исходный пароль - это не простая задача. Особенно для стандартов хеширования SHA2 и SHA3. Тут тоже используются свои переборы. Но комбинаций уже гораздо больше чем у словаря готовых паролей - плюс нужно постоянно пересчитывать хеш - а это, как я написал выше, более трудоёмко!
Но тут тоже может быть поиск по словарю - частей полувычесленных хешей - чтобы не вычислять их повторно!

Ну и замечу, что хакеры не стоят на месте - и при реализации взломов постоянно получают новые комбинации символов возможных паролей и их хешей - и постоянно дополняют ими готовую базу словаря! Поэтому если сейчас в ней 2ярда паролей - то через 10 лет в ней будут уже десятки триллионов паролей! Рано или поздно в ней будут все комбинации символов для паролей меньше определённой длинны!

31. vipetrov2 22.02.19 06:27 Сейчас в теме

(1) Наивные люди. Взломанные пароли попадают в эти базы, не потому что пароль подобрали или как то взломали, а потому что взломали весь сервер и слили все пароли сервера.
Для защиты своих аккаунтов нужно менять пароль пару раз в год. И причем пароль лучше создавать не как все рекомендуют 8 символов в разнобой, а в 2-3 слова, лучше с ошибками. Например: ветИркАПтельная. Такие пароли проще заполнить и намного сложнее подобрать.

32. ixijixi 1863 22.02.19 09:15 Сейчас в теме

При проверке ваши данные шифруются, так что даже у Google нет к ним доступа.

В базе накопилось более 4 млрд логинов и паролей, которые компания считает подозрительными.

36. VmvLer 22.02.19 11:47 Сейчас в теме

значит теперь существует сервис для добровольного заполнения баз данных вариантов паролей.

Такая база данных очень пригодиться алгоритмам искусственного обучения компании для их натаскивания на всякие благие цели.

Оставьте свое сообщение

E-mail: