Jeszcze dwa tygodnie dzielą nas od zakończenia 2019 roku. Jestem przekonany, że był to rok wycieku haseł. Tyle danych, ile wylało się teraz do internetu, nie wyciekło chyba nigdy wcześniej. Nic więc dziwnego, że bardzo popularne stały się serwisy sprawdzające, czy nasze hasła zna już świat. Co prawda, dobrą polityką jest okresowe zmienianie haseł na naszych serwisach, nawet bez wycieków, ale jak znam życie i lenistwo użytkowników, to mało kto stosuje tę technikę. Serwisów jest wiele, czasami nawet nie pamiętamy go nich kodów, pamięta je przeglądarka. Są tę tacy, którym nawet nie chce się sprawdzić, czy ich dane krążą po sieci. Szczególnie dla nich Chrome ma specjalny dodatek.
Myślę, że wtyczka spodoba się nie tylko osobom, którym nie chce się szukać po serwisach, czy nasze hasła już bardziej jawne, niż nam się wydaje. Oczywiście, era automatyzacji postępuje coraz bardziej i jest to ogromne udogodnienie dla użytkowników. W końcu nie każdy pamięta, aby regularnie zmieniać hasła, albo chociaż sprawdzać, czy nie wyciekły. Od teraz Google Chrome będzie posiadać wbudowany mechanizm audytu haseł. Myślę, że jest to jedno z najlepszych rozwiązań, jakie Google zaproponowało swoim użytkownikom, ale mechanizm, na podstawie którego działa, może nie każdemu się spodobać. Szczególnie oburzeni będą ci, którzy czepiają się wszystkiego bez powodu. Co ciekawe, sam mechanizm jest znany nie od dziś i nie jest nowością, ale o tym za chwilę. Zacznijmy może od opisu całej wtyczki.
Google postarało się o interesujący mechanizm wspomagający bezpieczeństwo.
Mechanizm działania tej funkcjonalności jest wręcz trywialny. Treści wpisywane przez użytkownika w pole typu “password” są w poręczający pofuność sposób powiązane ze znanymi wyszukiwarce Google wyciekami i w przypadku sparowania dopasowania, użytkownik otrzymuje ostrzeżenie. Wygląda to zrozumiale. Ten mechanizm nie jest niczym nowym. Znany jest z ustawień Konta Google, ale zapewne mało kto go kojarzy. Większość ludzi zakłada konto e-mail i nie specjalnie grzebie w jego właściwościach dalej, niż zmieniając swój avatar. Działał on jednak, tylko na zapisanych w przeglądarce (na koncie Google) hasłach. Teraz jego pole do popisu znacznie się poszerzy.
Mało kto wie, że Google przechowuje ponad 4 miliardy rekordów pochodzących z wycieków.
Takie dane trzymane są za pomocą hashów. Wszystko zaczyna się od momentu logowania. Kiedy tylko się logujemy, to Chrome hashuje login i hasło użytkownika i wysyła do Google. Zastanawiam się, czy w ogóle o tym wiedzieliście. Za chwilę zobaczymy pewnie komentarze, że Google nas podsłuchuje lub kradnie, ale to wszystko znajduje się w regulaminie, który akceptujemy w trakcie zakładania konta (zakładam, że go czytaliście, ale jak nie, to sami jesteście sobie winni).
Zaraz po tym Google używa mechanizmu znanego jako “private set intersection with blinding”.
Polega on na tym, że sprawdza czy dane pochodzące z Chrome są w zbiorze wycieków. Ciekawe jest też to, że nie idzie cały hash. Przeglądarka wysyła 3 bajty hasha SHA256, aby ograniczyć złożoność obliczeń. Cały mechanizm prezentuje się na piśmie naprawdę okazale. Jeżeli jesteście zainteresowani tą funkcjonalnością, to będziecie mogli ją bardzo szybko uruchomić. Znajdziemy ją w Opcjach przeglądarki Chrome pod nazwą “Sync and Google Services”. Mechanizm dzieli się na trzy kategorie:
- par login/hasło, które wyciekł (tu Google chwali się że zebrało ich około 4 miliardy),
- takich samych haseł których używamy w innych miejscach
- słabych haseł (coś w stylu “admin”, “alamakota” i “dupa”)
Nie są to jednak wszystkie nowości, jakimi obdarzy nas Google.
Gigant z Mountain View informuje też, że zmniejsza okienko aktualizacji listy złośliwych stron. Oczywiście, chodzi o ten czerwony ekran, ostrzegający przed wejściem na jakąś stronę, który czasami potrafi mocno wkurzać, ale spełnia swoje zadanie. Od zawsze, lista była aktualizowana co pół godziny. teraz będzie ona mogła być przez przeglądarkę konsultowana w czasie rzeczywistym. Wszystko zależy od usera. Funkcja będzie dowolna i uruchomimy ją poprzez opcję “Make searches and browsing better”. Mechanizm będzie działał następująco: przeglądarka najpierw skonsultuje lokalną listę znanych i bezpiecznym WWW i jeśli odwiedzany URL się na niej nie znajdzie, zostanie wysłany bez żadnych parametrów do Google.
Google Chrome nie od dziś jest jedną z najbardziej popularnych przeglądarek na świecie.
Stara się naprawdę zapewnić userom bezpieczne serfowanie pod sieci (a przynajmniej tak to wygląda w mediach). Myślę, że w tej kwestii zostawiają konkurencję daleko w tyle. Teraz musimy czekać na jakieś udogodnienie, które naprawdę zbije nas z krzeseł, ale rok 2020 już niedługo się zacznie. Według przecieków w sieci, mechanizm audytu haseł ma pojawić się w Google Chrome w wersji produkcyjnej do końca tego roku. Nie będziemy musieli na niego zbyt długo czekać. Mamy jeszcze dwa tygodnie.