Google ha appena lanciato una nuova estensione del browser Chrome che ti avvisa se una combinazione nome utente-password è stata compromessa in una violazione dei dati.
Chiamata Password Checkup, l'estensione è ora disponibile, anche se Google avverte che è ancora in lavorazione. Password Checkup confronta le credenziali che inserisci in qualsiasi sito Web con un database di quattro miliardi di set di credenziali compromesse note e ti consente di sapere se la tua combinazione nome utente-password non è più valida.
Quindi, se accedi ad Acme.com con il nome utente "[email protected]" e la password "BeepBeep", Password Checkup invierà una versione crittografata di tali credenziali al suo database.
Se la combinazione [email protected]/BeepBeep è tra i quattro miliardi di set di credenziali compromessi, riceverai un grande avviso rosso che "la tua password per www.acme.com non è più sicura a causa di una violazione dei dati", e che dovresti cambiare la tua password. In caso contrario, sarai rassicurato che tutto va bene.
ALTRO: I migliori gestori di password
Google ha dichiarato a Lily Hay Newman di Wired che il suo database non è lo stesso del database Have I Been Pwned di sei miliardi di set di credenziali compromessi gestito dal ricercatore di sicurezza australiano Troy Hunt. Eppure ci sarà sicuramente una sovrapposizione tra i due.
C'è un'altra grande differenza: Have I Been Pwned ti consente di controllare le password da soli e gli indirizzi e-mail da soli, ma mai entrambi contemporaneamente. Questo perché Hunt non vuole che Have I Been Pwned venga utilizzato dai ladri di identità per verificare se una specifica combinazione di indirizzo e-mail/password è valida.
Altrimenti, chiunque potrebbe provare a "forzare brute" Have I Been Pwned eseguendo, ad esempio, le 1.000 password più comunemente utilizzate su un elenco di indirizzi e-mail noti o generati.
Il controllo password di Google controlla entrambe le credenziali contemporaneamente, il che ci rende un po' preoccupati che l'estensione del browser renderà le credenziali non sicure ancora meno sicure. (Utilizzarlo per controllare le proprie password dovrebbe andare perfettamente bene.)
Un post ufficiale sul blog di Google afferma che la società "ha progettato Password Checkup per impedire a un utente malintenzionato di abusare di Password Checkup per rivelare nomi utente e password non sicuri".
Non abbiamo avuto la possibilità di sottoporre a stress test Password Checkup per vedere se tali protezioni contro la forzatura bruta funzionano. Ma qualcun altro lo farà sicuramente.
Questo post è apparso originariamente su Tom's Guide.
- I migliori laptop per il business e la produttività