Google wypuściło do swojej przeglądarki Chrome dodatek, który ma monitorować czy dane logowania, z których korzystamy (również na nienależących do Google stronach, stąd rozszerzenie) nie wyciekły, czyli czy nie znajdują się w bazie ponad 4 miliardów (!) danych do logowania, które wyciekły i zostały (m.in.) przez Google przetworzone i zaindeksowane.

Chrome Password Checkup zweryfikuje, czy nasze dane logowania nie znajdują się w jakimś znanym wycieku

Dlatego, choć w przeglądarce staram się mieć zainstalowane jak najmniej rozszerzeń (kwestia bezpieczeństwa), to dla rozszerzenia Chrome Password Checkup chętnie zrobiłem wyjątek. Nawet jeśli – wbrew statystykom – Chrome nie jest moją podstawową przeglądarką.

Rozszerzenie – a właściwie kryjąca się za nim usługa – działa tak,  że gdy algorytmy Google wykryją jakieś dane logowania pochodzące z wycieku (mniej lub bardziej publicznie dostępne) zostaną one zahaszowane (Argon2). Pierwsze 2 baity takiego hasza w formie niezaszyfrowanej są wykorzystywane jako pewnego rodzaju indeks. Cały hasz natomiast zostaje dodatkowo zaszyfrowany za pomocą klucza, który zna tylko Google (krzywe eliptyczne).

Gdy logujemy się do jakiejś strony/usługi z aktywnym rozszerzeniem Chrome Password Checkup, wykonywana jest podobna operacja – dane logowania są haszowane, 2  pierwsze bajty są przesyłane do Google w celu porównania z bazą danych, a cały hasz zostaje zaszyfrowany (krzywe eliptyczne), kluczem, który dla odmiany znamy tylko my (a konkretnie przeglądarka).

Jeśli zostanie wykryta zbieżność (2 pierwsze bajty niezaszyfrowanego hasza), następuje właściwie porównywanie haseł, z naciskiem na to, by w trakcie tego procesu nie naruszyć bezpieczeństwa (nie tylko) naszych danych logowania. Jak szczegółowo wygląda ten proces, możecie przeczytać na blogu Google, oraz podejrzeć na infografice…

Sama idea nie jest taka nowa, już od jakiegoś czasu krążyły tego typu pomysły (a chyba nawet jakiś projekt tego typu na GitHubie został opublikowany, chyba z wykorzystaniem serwisu Have I Been Pwned), ale tutaj warta podkreślenia jest skala – w końcu to Chrome, czyli obecnie chyba najpopularniejsza przeglądarka. Nawet się zastanawiam, czy to rozszerzenie nie powinno zostać włączone bezpośrednio i każdego użytkownika…

(!) Zgłoś błąd na stronie
Pomogłem? To może postawisz mi wirtualną kawę?
LUTy dla D-Cinelike (DJI Mini 3 Pro, DJI Avata, OSMO Pocket) od MiniFly
Wdrożenie Omnibusa w sklepie na WooCommerce
Jak (legalnie) latać dronem w Kategorii Otwartej
Patryk