Google wypuściło do swojej przeglądarki Chrome dodatek, który ma monitorować czy dane logowania, z których korzystamy (również na nienależących do Google stronach, stąd rozszerzenie) nie wyciekły, czyli czy nie znajdują się w bazie ponad 4 miliardów (!) danych do logowania, które wyciekły i zostały (m.in.) przez Google przetworzone i zaindeksowane.

Chrome Password Checkup zweryfikuje, czy nasze dane logowania nie znajdują się w jakimś znanym wycieku

Dlatego, choć w przeglądarce staram się mieć zainstalowane jak najmniej rozszerzeń (kwestia bezpieczeństwa), to dla rozszerzenia Chrome Password Checkup chętnie zrobiłem wyjątek. Nawet jeśli – wbrew statystykom – Chrome nie jest moją podstawową przeglądarką.

Rozszerzenie – a właściwie kryjąca się za nim usługa – działa tak,  że gdy algorytmy Google wykryją jakieś dane logowania pochodzące z wycieku (mniej lub bardziej publicznie dostępne) zostaną one zahaszowane (Argon2). Pierwsze 2 baity takiego hasza w formie niezaszyfrowanej są wykorzystywane jako pewnego rodzaju indeks. Cały hasz natomiast zostaje dodatkowo zaszyfrowany za pomocą klucza, który zna tylko Google (krzywe eliptyczne).

Gdy logujemy się do jakiejś strony/usługi z aktywnym rozszerzeniem Chrome Password Checkup, wykonywana jest podobna operacja – dane logowania są haszowane, 2  pierwsze bajty są przesyłane do Google w celu porównania z bazą danych, a cały hasz zostaje zaszyfrowany (krzywe eliptyczne), kluczem, który dla odmiany znamy tylko my (a konkretnie przeglądarka).

Jeśli zostanie wykryta zbieżność (2 pierwsze bajty niezaszyfrowanego hasza), następuje właściwie porównywanie haseł, z naciskiem na to, by w trakcie tego procesu nie naruszyć bezpieczeństwa (nie tylko) naszych danych logowania. Jak szczegółowo wygląda ten proces, możecie przeczytać na blogu Google, oraz podejrzeć na infografice…

Sama idea nie jest taka nowa, już od jakiegoś czasu krążyły tego typu pomysły (a chyba nawet jakiś projekt tego typu na GitHubie został opublikowany, chyba z wykorzystaniem serwisu Have I Been Pwned), ale tutaj warta podkreślenia jest skala – w końcu to Chrome, czyli obecnie chyba najpopularniejsza przeglądarka. Nawet się zastanawiam, czy to rozszerzenie nie powinno zostać włączone bezpośrednio i każdego użytkownika…

(!) Zgłoś błąd na stronie

Spodobał Ci się artykuł? Zapisz się do naszego Newslettera - ZERO SPAMu, same konkrety, oraz dostęp do dodatkowych materiałów przeznaczonych dla subskrybentów!

Na podany adres e-mail otrzymasz od nas wiadomość e-mail, w której znajdziesz link do potwierdzenia subskrypcji naszego Newslettera. Dzięki temu mamy pewność, że nikt nie dodał Twojego adresu przez przypadek. Jeśli wiadomość nie przyjdzie w ciągu najbliższej godziny (zazwyczaj jest to maksymalnie kilka minut) sprawdź folder SPAM.

Patryk

CEO Webinsider.pl, a do tego CTO, CIO, CFO, CMO, CSO, COO i CRO ;-)
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.

Dumny przyjaciel swoich psów :-)