A Verificação de senha é uma nova extensão do navegador para o navegador Google Chrome, que informa os usuários sobre nomes de usuário ou senhas não seguros.
Os usuários da Internet têm algumas opções para testar a força das senhas e descobrir se alguma de suas contas foi incluída em vazamentos.
O banco de dados Já fui comprado é provavelmente o maior banco de dados público de senhas vazadas; ele consiste em mais de 6, 4 bilhões de contas e você pode verificar qualquer endereço de e-mail ou senha da conta no banco de dados.
Alguns gerenciadores de senhas suportam verificações de senha; minha ferramenta favorita, o KeePass, suporta isso para que você possa verificar todas as senhas no banco de dados localmente para revelar contas que precisam de alterações, pois você deve considerar qualquer senha vazada como comprometida.
Verificação de senha pelo Google
A solução de verificação de senha do Google está disponível como uma extensão do Chrome. Ele funciona apenas com o gerenciador de senhas integrado do navegador Chrome e não se você usar gerenciadores de senhas de terceiros, como LastPass ou 1Password.
A Verificação de senha usa um sistema diferente quando se trata de informar os usuários sobre credenciais não seguras.
Ele verifica a senha usada para entrar nas contas na Internet quando as entradas acontecem em um banco de dados com mais de 4 bilhões de senhas.
O Google mantém uma lista de nomes de usuário e senhas vazados em formato hash e criptografado e adiciona novas credenciais a ela sempre que tomar conhecimento delas.
A empresa observa que a extensão e o sistema foram projetados com a privacidade em mente devido à natureza sensível dos dados. A extensão foi projetada para "nunca revelar [...] informações pessoais ao Google" e "impedir que um invasor abuse do Password Checkup para revelar nomes de usuário e senhas inseguros".
A Verificação de senha envia uma cópia criptografada e com hash do nome de usuário ao Google quando os usuários fazem login nos sites. Google usando ofuscamento e recuperação de informações privadas para pesquisar no banco de dados de credenciais inseguras; a verificação final que determina se o nome de usuário ou a senha foi exposta em uma violação de dados acontece localmente, de acordo com o Google.
A extensão do navegador exibe informações acionáveis se for encontrado o nome de usuário ou senha que vazou online. Os usuários são solicitados a alterar a senha no momento e no local, mas também é possível ignorar as descobertas de sites específicos.
O Google planeja refinar a extensão nos próximos meses. Você pode conferir a postagem no blog do Google Security para obter informações adicionais.
Palavras finais
A Verificação de senha usa uma abordagem diferente para a maioria dos verificadores de vazamento de senha por aí. O nome de usuário e a senha são verificados apenas se o usuário entrar nos sites. Embora isso exija parte do estresse envolvido na alteração de senhas em dezenas ou até centenas de sites, isso pode significar que um usuário nunca fica ciente de problemas de credenciais ou apenas após um período prolongado.
Além disso, como o Google usa seu próprio conjunto de dados, é possível que uma senha ou nome de usuário vazado não seja encontrado no banco de dados do Google, mas em Eu já fui usuário ou outros na Internet (e vice-versa). Um teste rápido mostrou que o Google não detectou violações em algumas contas, enquanto Fui preso (Pwned).
O Google poderia resolver alguns dos problemas da extensão adicionando uma opção para verificar todos os nomes de usuário e senhas armazenados em seu banco de dados de credenciais vazadas.
Agora você: Qual é a sua impressão do Password Checkup até agora?
