Google wypuściło do swojej przeglądarki Chrome dodatek, który ma monitorować czy dane logowania, z których korzystamy (również na nienależących do Google stronach, stąd rozszerzenie) nie wyciekły, czyli czy nie znajdują się w bazie ponad 4 miliardów (!) danych do logowania, które wyciekły i zostały (m.in.) przez Google przetworzone i zaindeksowane.

Chrome Password Checkup zweryfikuje, czy nasze dane logowania nie znajdują się w jakimś znanym wycieku

Dlatego, choć w przeglądarce staram się mieć zainstalowane jak najmniej rozszerzeń (kwestia bezpieczeństwa), to dla rozszerzenia Chrome Password Checkup chętnie zrobiłem wyjątek. Nawet jeśli – wbrew statystykom – Chrome nie jest moją podstawową przeglądarką.

Rozszerzenie – a właściwie kryjąca się za nim usługa – działa tak,  że gdy algorytmy Google wykryją jakieś dane logowania pochodzące z wycieku (mniej lub bardziej publicznie dostępne) zostaną one zahaszowane (Argon2). Pierwsze 2 baity takiego hasza w formie niezaszyfrowanej są wykorzystywane jako pewnego rodzaju indeks. Cały hasz natomiast zostaje dodatkowo zaszyfrowany za pomocą klucza, który zna tylko Google (krzywe eliptyczne).

Gdy logujemy się do jakiejś strony/usługi z aktywnym rozszerzeniem Chrome Password Checkup, wykonywana jest podobna operacja – dane logowania są haszowane, 2  pierwsze bajty są przesyłane do Google w celu porównania z bazą danych, a cały hasz zostaje zaszyfrowany (krzywe eliptyczne), kluczem, który dla odmiany znamy tylko my (a konkretnie przeglądarka).

Jeśli zostanie wykryta zbieżność (2 pierwsze bajty niezaszyfrowanego hasza), następuje właściwie porównywanie haseł, z naciskiem na to, by w trakcie tego procesu nie naruszyć bezpieczeństwa (nie tylko) naszych danych logowania. Jak szczegółowo wygląda ten proces, możecie przeczytać na blogu Google, oraz podejrzeć na infografice…

Sama idea nie jest taka nowa, już od jakiegoś czasu krążyły tego typu pomysły (a chyba nawet jakiś projekt tego typu na GitHubie został opublikowany, chyba z wykorzystaniem serwisu Have I Been Pwned), ale tutaj warta podkreślenia jest skala – w końcu to Chrome, czyli obecnie chyba najpopularniejsza przeglądarka. Nawet się zastanawiam, czy to rozszerzenie nie powinno zostać włączone bezpośrednio i każdego użytkownika…

(!) Zgłoś błąd na stronie
Spodobał Ci się artykuł? Zapisz się do naszego Newslettera - ZERO SPAMu, same konkrety, oraz dostęp do dodatkowych materiałów przeznaczonych dla subskrybentów!
Na podany adres e-mail otrzymasz od nas wiadomość e-mail, w której znajdziesz link do potwierdzenia subskrypcji naszego Newslettera. Dzięki temu mamy pewność, że nikt nie dodał Twojego adresu przez przypadek. Jeśli wiadomość nie przyjdzie w ciągu najbliższej godziny (zazwyczaj jest to maksymalnie kilka minut) sprawdź folder SPAM.

Patryk

CEO Webinsider.pl, a do tego CTO, CIO, CFO, CMO, CSO, COO i CRO ;-)
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.

Dumny przyjaciel swoich psów :-)
Napisz komentarz
wipl_napisz-komentarz_01
Jeśli informacje zawarte na tej stronie okazały się pomocne, możesz nam podziękować zostawiając poniżej swój komentarz.

W tej formie możesz również zadać dodatkowe pytania dotyczące wpisu, na które – w miarę możliwości – spróbujemy Ci odpowiedzieć.
Linki partnerskie
Niektóre z linków na tej stronie to tzw. „linki partnerskie”, co oznacza, że jeśli klikniesz na link i dokonasz wymaganej akcji (np. zakup/rejestracja) możemy otrzymać za to prowizję. Pamiętaj, że polecamy tylko te produkty i usługi, z których sami korzystamy, i uważamy, że są tego na prawdę warte… :-)
Znaki towarowe i nazwy marek
W niektórych wpisach (oraz innych miejscach na stronie) mogą być przedstawione/użyte znaki towarowe i/lub nazwy marek, które stanowią własność intelektualną tych podmiotów, a zostały użyte wyłącznie w celach informacyjnych.