Возврат к списку

Проверка на слив: Google сделает ваши пароли безопаснее

21.02.2019     

Новости о сливе новой базы паролей появляются несколько раз в год. Google придумал, как сделать пароли безопаснее, и реализовал это в расширении Password Checkup для браузера Chrome.

Как это работает

После установки расширение будет предупреждать, если вы вводите небезопасный пароль. Когда входите в учетную запись на сайте, расширение сравнивает ваши данные с записями из своей базы.

В базе накопилось более 4 млрд логинов и паролей, которые компания считает подозрительными. Если найдено совпадение, расширение покажет окно с предупреждением и рекомендацией сменить пароль.

Разработчики заявили, что создавали расширение совместно с экспертами по криптографии из Стэнфорда. При проверке ваши данные шифруются, так что даже у Google нет к ним доступа.

 

 

Минусы сервиса

Password Checkup не использует интеллектуальные механизмы при анализе паролей. Таким образом, если вы введете простую комбинацию вроде «12345», но ее не окажется в базе, расширение не предупредит об опасности.

К тому же оно предназначено только для одного браузера. То есть пароли в мессенджере или почтовом клиенте проверятся.

Недавно в сети появилась база с данными для входа от 2,7 млрд аккаунтов. Рекомендуем воспользоваться сервисами вроде этого, чтобы вручную проверить свой аккаунт и убедиться, что его нет в списке, доступном хакерам.


Автор:
Ксения Шестакова Обозреватель


Комментарии
Избранное Подписка Сортировка: Древо
1. Timur.V 55 21.02.19 16:30 Сейчас в теме
реализовал это в расширении Password Checkup для браузера Chrome.
При проверке ваши данные шифруются, так что даже у Google нет к ним доступа.

У создателей (администраторов) сайта нет доступа к данным пользователей ))
Если речь идёт о хешах паролей, то уже есть таблицы хешей паролей (специально для взлома). Понятно, что не всех, а только коротких.
Google прочитает всё, что нужно.

А если вы хотите, чтобы кто-то другой не угадал ваш пароль:
1) длина пароля должны быть 16 символов и больше
2) используйте в пароле Zde39dd20dDFD большие и маленькие буквы + цифры.
Иногда можно ещё использовать специальные символы в пароле @!#$%%^*
user876792; Vortune; vrednyi_glavred; +3 Ответить
2. FesenkoA 38 21.02.19 17:28 Сейчас в теме
(1)Дополнение: Есть такой сайт https://howsecureismypassword.net который показывает сколько времени нужно хакерам чтобы брутфорсить ваш пароль. Не рекомендую вводить туда ИМЕННО ВАШИ пароли от популярных сервисов, лучше для теста попробовать что-то похожее на них.
10. Darklight 19 21.02.19 18:13 Сейчас в теме
(2)Что уж очень быстро, данный сайт, читает можно подобрать пароли размером менее 12 символов (без спецсимволов). Например 10 символьный пароль (в разном регистре и с цифрами) можно подобрать за 41 год. Для рядового пользователя - это вполне достаточная безопасность (особенно для паролей, хотя раз в несколько лет) - но в целом, это достаточно быстро. Интересно, какая методика оценки времени. Наверняка - доступные мощности хакеров завышены - небось взяли в расчёт гетерогенную бот-сеть топовых компьютеров из более чем миллиона штук, которые подбирают хеш. Аккаунты обычных пользователей так никто ломать не будет - это очень дорого!

Любопытно - что у этого сервиса время подбора пароля мало зависит от раскладки и наличия простых спецсимолов - в основном только от длины !
Особенно быстро растёт время при использовании специсимволов вне ангийской рассклаки!

Вот Вам и способ сильно усложнить пароль не увеличивая его длину - введите в слово какой-то специмвол, не доступный в английской раскладке - например "№" (проще всего, не меняя раскладку, его ввести с клавиатуры ALT+252 на цифровом блоке или какой-то другой нестандартный символ - например русская ё - ALT+241 и т.п.) - и время подбора такого пароля вырастает очень быстро - если ещё таких символов добавить.... ух как вырастает!
Пароль: ohmygod подбирается мгновенно
Пароль: OhMyGoD подбирается за 2 минуты
Пароль: O#MyG0D подбирается за 7 минут
Пароль: O#_My_G0D подбирается за 4 недели
Пароль: №№G0D№№ подбирается за 1 тысячу лет
Пароль: ohmygod№ подбирается 973 тысчи лет
Пароль: OhMyGoD№ подбирается за 1 миллион лет
Пароль: Oh_My_GoD№ подбирается за 2 триллиона лет
Пароль: Oh№My№GOD№ подбирается за 2 триллиона лет
Пароль: *h№My№@0D№ подбирается за 2 триллиона лет
25. FesenkoA 38 21.02.19 19:00 Сейчас в теме
(10)
Что уж очень быстро, данный сайт, читает можно подобрать пароли размером менее 12 символов (без спецсимволов).


Суперкомпьютер, большая бот сеть. Плюс это на сферическом сервере в вакууме (как я понял), то есть без учета сети, всяких задержек апи, итд. Да, нашей с вами перепиской не будут так тщательно интересоваться, как правило переберут 8 символов + словарь и все.
Кстати, недавно подключался к глав. бухгалтеру КРУПНОЙ конторы, и знаете сколько времени нужно чтобы подобрать пароль к упр.(и бух) базе, которая, кстати, опубликована в вебе?

It would take a computer about
3 HUNDRED PICOSECONDS
to crack your password


Да, нестандарные символы редко проверяют, идея кстати зачет! Можно еще юникодом смайлики на пароль ставить :)
26. Darklight 19 21.02.19 19:01 Сейчас в теме
(25)Вот с юникодом как раз лучше не связываться - вы его просто не введёте легко!
30. user876792 21.02.19 19:21 Сейчас в теме
(26) когда-то давно майлру даже из спецсимволов в пароле поддерживал всего три _ - . не то что юникод
35. Darklight 19 22.02.19 10:52 Сейчас в теме
(30)Вот вот. Ну раньше юникод вообще мало кто поддерживал - сейчас уже другие времена - но лучше всё-таки не заморачиваться с ним! Да и то, что япредложил - про ввод сиволо через ALT- тоже не лучшее решение - да безопасность повышает очень хорогшо - но ввести такой пароль можно будет только с клаиатуры, имеющий такой цифровой блок - без него не ввести!
20. Xershi 676 21.02.19 18:47 Сейчас в теме
(2) поставил на почту новый пароль:
It would take a computer about

38 BILLION YEARS

to crack your password
3. Darklight 19 21.02.19 17:28 Сейчас в теме
(1) по поводу п.2 где-то видел исследование о длинен пароля - что увеличение длинны от 16 символов (или около того) не приводит к существенному росту безопасности, а скорее наоборот - снижает её. Точно не помню почему - может дело в психологии составления таких паролей? Особенно когда их много и/или приходится часто менять.
Лучше относительно короткий пароль (ну символов 9-12), даже пусть имеющий смысловую интерпретацию, но в разном регистре символов и хотя бы с одной-двмя цифрами - но не в конце/в начале - а где-то посреди фразы или вместо буквы. А если ещё и хотя бы один спецсимвол добавить - пароль будет меганаджен! Но много спецсимволов - это плохо - каждый такой спецсимвол увеличивает сложность запоминания пароля в 2 раза минимум, а то и экспоненциально.
4. Timur.V 55 21.02.19 17:33 Сейчас в теме
(3)
Пароли от wi-fi c длиной 8 символов ломаются, кажется за 2 часа.
А что касается очень длинных паролей, как их запоминать. Можно где-то его хранить на компьютере и менять в нем, при вводе, несколько символов.
5. user876792 21.02.19 17:40 Сейчас в теме
(4)
Можно где-то его хранить на компьютере и менять в нем, при вводе, несколько символов.

Как это спасет от кейлогера?
8. Timur.V 55 21.02.19 17:48 Сейчас в теме
(5)
От кейлогера поможет двухфакторная аутентификация.
user876792; +1 Ответить
9. user876792 21.02.19 17:51 Сейчас в теме
(8) Зачем тогда символы менять при вводе?
22. user876792 21.02.19 18:53 Сейчас в теме
(8)
От кейлогера поможет двухфакторная аутентификация.

А от того же Гугла? Кто может точно сказать что Андроид не читает смс?)
24. Darklight 19 21.02.19 18:58 Сейчас в теме
(22)
А от того же Гугла? Кто может точно сказать что Андроид не читает смс?)

Сергей Брин
29. user876792 21.02.19 19:11 Сейчас в теме
(24) Можно еще посмотреть разрешения стандартных приложений.. которым такие разрешения вообще в принципе не нужны.
34. Darklight 19 22.02.19 10:49 Сейчас в теме
(29)Если гуглу через Андрой нужно будет скрытно читать смс - он не будет это делать через стандартны приложения - он это сделает на уровне ядра! Вот только навряд ли Гуглу нужны эти смс - важную информацию (для Гугла) через них явно никто не будет отправлять!
13. Darklight 19 21.02.19 18:22 Сейчас в теме
(5)ну если через буфер копировать а потом менять пру *-чек (ткнув в новую позицию мышкой) - это высоконадёжно даже против кейлогера (если он, конечно, не специально под вас заточен), ещё можно пользоваться виртуальной клавиатурой (в windows встроена, а многих банков, например, тоже есть прямо на сайте).
14. user876792 21.02.19 18:26 Сейчас в теме
(13) кейлогеров с функцией снятия скрина при клике мышкой разве не бывает?
16. Darklight 19 21.02.19 18:31 Сейчас в теме
(14)Ну, я не знаю - тут нет 100% защиты! Только специальные физические устройства аутентификации дают действительно хорошую защиту! Например через токены аутентификации.
user876792; +1 Ответить
15. Darklight 19 21.02.19 18:26 Сейчас в теме
(4)Ну мне трудно в это поверить (когда пароль из 8-символов написан сложно) - ЕСЛИ ТОЛЬКО ДЛЯ ВЗЛОМА НЕ БУДЕТ ЗАДЕЙСТВОВАНА БОТ-НЕТ СЕТЬ ИЗ МОЩНЫХ КОМПЬЮТЕРОВ ГИГАНТСКИХ РАЗМЕРОВ!
7. user876792 21.02.19 17:46 Сейчас в теме
(3)
может дело в психологии составления таких паролей

генератор паролей + ручное изменение
12. Darklight 19 21.02.19 18:19 Сейчас в теме
(7)Сгенерированные пароли достаточной длинны и сложности очень тяжело запоминать. Ту да - как раз дело в психологии - я об этом написал!
17. user876792 21.02.19 18:33 Сейчас в теме
(12)
Сгенерированные пароли достаточной длинны и сложности очень тяжело запоминать

Смысл их запоминать? Много ли таких паролей сможет запомнить обычный юзер? Менеджер паролей и как вы говорите вставлять случайные символы при копипасте и менять их раз в..
18. Darklight 19 21.02.19 18:35 Сейчас в теме
(17)Это очень сложно - годится только для случаев требующих действительно высокой надёжности! Да и компьютер, например, так разблокировать не получится!
19. user876792 21.02.19 18:40 Сейчас в теме
(18)
Да и компьютер, например, так разблокировать не получится!

Ну один пароль можно и запомнить)
27. Darklight 19 21.02.19 19:02 Сейчас в теме
(19)Лучше eToken хотя бы использовать - блокировка windows его поддерживает!
user876792; +1 Ответить
6. user876792 21.02.19 17:44 Сейчас в теме
(1)
А если вы хотите, чтобы кто-то другой не угадал ваш пароль:
1) длина пароля должны быть 16 символов и больше
2) используйте в пароле Zde39dd20dDFD большие и маленькие буквы + цифры.
Иногда можно ещё использовать специальные символы в пароле @!#$%%^*

От слива это чем поможет?
11. Darklight 19 21.02.19 18:18 Сейчас в теме
(6)Ну, сливают обычно как раз-таки базу хешей из сервиса (а не от пользователя) - и потом её брутфорсят. У пользователя - проще кейлогер поставить!
Но сейчас хеши вроде со случайной добавкой хранятся (уже давно) - их по словарю хешей нереально брутфорсить - только по прямым перебором всех символов - но, мне кажется, это будет намнго дольше, чем показывает сервис https://howsecureismypassword.net
21. user876792 21.02.19 18:50 Сейчас в теме
(11)
мне кажется, это будет намнго дольше, чем показывает сервис https://howsecureismypassword.net

этот сервис вообще непонятно что показывает. восьмизначный числовой пароль будет взломан за 3 миллисекунды причем не важно какая именно будет комбинация цифр. очевидно же что на полный перебор 18473649 и 53741832 уйдет разное количество времени, если начинать например с 00000000 по возрастающей.
23. Darklight 19 21.02.19 18:57 Сейчас в теме
(21)НУ Я, ДУМАЮ, ЧТО ОЦЕНКА СТРОИТСЯ НА ОСНОВЕ БОЛЕЕ ХИТРЫХ АЛГОРИТМОВ. Думаю такие простые пароли просто взламываются по известному хешкоду (словарю) - а там время не сильно зависит даже от длины пароля!
28. user876792 21.02.19 19:05 Сейчас в теме
(23) словарь это разве не набор строк которые тоже нужно перебрать?
33. Darklight 19 22.02.19 10:38 Сейчас в теме
(28)Не совсем.
1. Словари индексированы - поиск по ним идёт по бинарному дереву (как популярный вариант, но это не обязаельно) - поэтому поиск даже по большому словарю по ключу-хешу (длиной, чаще всего не более 128 бит, т.е. по 16 символам, хотя даже применение 1024 битного ключа не принципиально замедлит скорость) среди миллиардов записей идёт доли секунды - в среднем значение находится всего за несколько десятков/сотен/тысяч шагов по дереву (а то и быстрее) - а один шаг это всего лишь несколько тактов микроопроцессора, коих современные микропроцессоры делают триллионы в секунду на ядро.
2. Перебирать строки (даже без индексов) не такая уж трудоёмкая задача. Она не сравнима с тем, сколько времени нужно потратить на вычисление хеша - скажем так - найти среди миллиардов строк одну строку по ключу-хешу на порядок быстрее, чем вычислить этот хеш - и чем длинее битность хеша - тем он медленнее вычисляется (но это замедление от длины хеша будет не сильно расти от длины хеша, как, впрочем и от длинны пароля).
3. Поиск по слварю оченть неплохо распараллеливается по гетерогенным кластерных сетям - с гигантским числом компьютеров! Поэтому можно считать, что первый этап поиска по словарю практически любого размера (при налиичии достаточного числа компьютеров в кластере) по ключу-хешу любой длинны занимает время не более микросекунды! То есть им можно пренебречь!
4. В таком словаре уже наверняка есть все комбинации символов, доступных с клавиатуры на разных языках (но возможно набираемые только в одной языковой раскладке - иначе комбинаций будет слишком много для всех языков), до определённой длинны (увы не знаю какой, но думаю до 6 точно есть, а то и до 8 может быть - ну для английской раскладки, как самой популярной для паролей, уж точно до 8 должны быть все комбинации, а то и больше).

Но в словарь не поместить все пароли - поэтому алгоритм (после прохода по словарю) должен будет перейти к составлению новых версий паролей. Причём в этом случае будет применяться метод реверс-инженеринга - алгоритм будет операться на конечный хеш пароля - и пытаться из него восстановить исходный пароль - это не простая задача. Особенно для стандартов хеширования SHA2 и SHA3. Тут тоже используются свои переборы. Но комбинаций уже гораздо больше чем у словаря готовых паролей - плюс нужно постоянно пересчитывать хеш - а это, как я написал выше, более трудоёмко!
Но тут тоже может быть поиск по словарю - частей полувычесленных хешей - чтобы не вычислять их повторно!


Ну и замечу, что хакеры не стоят на месте - и при реализации взломов постоянно получают новые комбинации символов возможных паролей и их хешей - и постоянно дополняют ими готовую базу словаря! Поэтому если сейчас в ней 2ярда паролей - то через 10 лет в ней будут уже десятки триллионов паролей! Рано или поздно в ней будут все комбинации символов для паролей меньше определённой длинны!
31. vipetrov2 22.02.19 06:27 Сейчас в теме
(1) Наивные люди. Взломанные пароли попадают в эти базы, не потому что пароль подобрали или как то взломали, а потому что взломали весь сервер и слили все пароли сервера.
Для защиты своих аккаунтов нужно менять пароль пару раз в год. И причем пароль лучше создавать не как все рекомендуют 8 символов в разнобой, а в 2-3 слова, лучше с ошибками. Например: ветИркАПтельная. Такие пароли проще заполнить и намного сложнее подобрать.
32. the1 372 22.02.19 09:15 Сейчас в теме
При проверке ваши данные шифруются, так что даже у Google нет к ним доступа.

В базе накопилось более 4 млрд логинов и паролей, которые компания считает подозрительными.

36. VmvLer 22.02.19 11:47 Сейчас в теме
значит теперь существует сервис для добровольного заполнения баз данных вариантов паролей.

Такая база данных очень пригодиться алгоритмам искусственного обучения компании для их натаскивания на всякие благие цели.
Оставьте свое сообщение

См. также