Повече от половината потребители използват една и съща парола за множество акаунти
(снимка: CC0 Public Domain)
„Паролите са едно от най-лошите неща в интернет”, казва Марк Ришър, старши директор на Google по сигурността на акаунтите, идентичностите и злоупотребите. Компанията е решена да отучи потребителите да използват една и съща парола за много приложения. И има всички изгледи да го постигне.
Въпреки че са от съществено значение за сигурността и помагат на хората да влизат в много приложения и уебсайтове, паролите „са един от основните, ако не и основният начин за компрометиране”, смятат специалистите по сигурност.
Може би на пръв поглед това изглежда като противоречие – главният директор по сигурността на Google да каже, че паролите са лошо нещо; та нали последният път, когато сме влезли в Gmail, сме въвели именно парола? Но компанията от години се опитва да отучи потребителите от модела на използване на едни и същи пароли или поне да намали до минимум щетите от тази вредна практика, отбелязва The Verge.
През следващите седмици един от най-тихите инструменти на Google в тази битка – функцията за проверка на паролата – ще добие популярност, защото ще се включи в таблото за проверка на сигурността, вградено във всеки акаунт в Google.
Проблемът – една парола за много акаунти
В крайна сметка проблемът е факт. Въпреки че много хора използват инструменти като софтуерните мениджъри на пароли, мнозина използват една и съща парола за много акаунти – дори и сред тези, които разчитат на мениджъра на пароли да помни вместо тях. Петдесет и два процента от хората използват една и съща парола за множество акаунти, сочат резултатите от анкета, публикувана през февруари 2019 г. от Google (проведена от социологическата компания Harris). 13% от хората използват една парола за всички свои акаунти.
Какво значи това? Че ако един акаунт на един потребител бъде компрометиран по някаква причина, зложелателите добиват достъп до всички акаунти на този човек. Проблемът е сложен, защото дори човек да си е намислил „страшна” парола с много букви, цифри и специално символи и с голяма дължина – на теория непробиваема – ако тя изтече, в крайна сметка няма никаква полза от голямата сложност на паролата.
Мерките на Google
Google доста отдавна се опитва да помогне на потребителите да си изградят по-добри навици за формиране на паролите – бавно, но сигурно. От години компанията предлага вграден мениджър на пароли в Google акаунтите на Chrome и Android, който може да запазва паролите и да ги попълва например в уебсайтове и приложения.
През последната година Google работи и по това да подтикне хората проактивно да правят по-добри пароли чрез проверка на паролата. Инструментът проверява данните за вход спрямо база данни с 4 милиарда изтекли идентификационни данни. Така може да се види дали паролата, която въвежда даден човек, вече не е компрометирана. Тази функция на Google стартира първо като разширение за Chrome през февруари 2019 г., а после компанията го заложи в Google акаунтите през октомври.
Естествено, подобен подход не е нова идея. Има обаче една подробност: Google е в уникалната позиция да предложи такава проверка на парола. Компанията има милиони потребители с милиарди акаунти, съответно милиарди пароли. С други думи, мащабът за прилагане на мерките за по-добро боравене с паролите има много по-голям шанс да бъде възприет от потребителите.
Предизвикателства
Една от тежките задачи в това предизвикателство е как да се направи така, че компрометираните данни да бъдат маркирани като такива, но по начин, който е деликатен, дискретен, зачитащ личната неприкосновеност. Това е довело до комбиниране на усилията на специалисти както от Google, така и от Университета в Станфорд.
Предизвикателство е било и намирането на начин за автоматична проверка на идентификационните данни на потребителя спрямо база данни с компроментирани входни данни, без да се разкрива тази информация пред Google или да се даде достъп на потребителя до цялата база данни. И всичко това в огромен мащаб!
За целта Google съхранява хеширана и криптирана версия на всяка известна комбинация от потребителско име и парола, които са били отвлечени, откраднати, компрометирани. Всеки път, когато влезете в акаунт, Google изпраща хеширана и криптирана версия на вашата информация за вход и я сравнява с въпросната база данни данни. Ако се открие съвпадение, Google ще покаже сигнал, препоръчващ ви да промените паролата си за дадения сайт.
Google получава компрометирани входни данни от „множество различни източници и надеждни партньори”, казва отделът по сигурността в голямата компания. Това включва дори и „подземни” мрежи и групи, където се предлагат разбити пароли.
„Имаме етична политика никога да не плащаме на престъпници за откраднати данни”, казват от отдела по сигурността. „Но само заради това как точно работят тези черни пазари много често се оказва, че [откраднатите данни] изплуват на повърхността и стават достъпни”.
Функцията за проверка на паролата е отнела около две-три години от създаването до появата й в много продукти на Google. В крайна сметка Google иска да ви изпрати имейл за проверка на сигурността, когато открие, че запазеният вход е компрометиран при нарушение на данните, което компанията планира да стартира през следващите месеци. И по-късно тази година Google ще позволи на хората да използват проверка на паролата в Chrome, дори и да не са влезли в акаунт в Google.
Други разработки
Google не е единствената компания, която предлага функционалност за проверка на паролите. Мениджърът на пароли 1Password препоръчва промяна на слаби или дублирани пароли, а също така предлага и „наблюдател”, който проверява дали въведената парола не фигурира в някоя от глобалните бази данни с вече хакнати акаунти. Apple наскоро обяви, че следващата версия на Safari също ще има инструмент за наблюдение на паролите, който изглежда ще работи по подобен начин.
Но Google има предимство в похода за „превъзпитаване” на потребителите заради своя огромен мащаб. Инструментите за проверка на парола ще достигнат до огромна аудитория и то от хора, които са склонни да приемат предлаганите от Google подобрения.
Може да се очаква, че новата услуга за проверки на паролите наистина ще направи по-лесно за потребителите да боравят с пароли по правилния начин. Изненадващо, голямата компания е на път да сбъдне това, което специалистите по сигурност от години препоръчват и настойчиво съветват.
До @дам:
Могат да го напрявят като вместо да искат от потребителя да въвежда парола, те генерират парола със 128 символа съставена от букви, цифри, знаци и unicode символи.
Каквото и да прави Google, не можеш спря каките и лелките в офисите да си пишат паролите в тефтери, файлове на десктопа и да си ги разменят една с друга.
Било им трудно да боравят с Keepass и другите подобни на него.