Расширение Password Checkup сверяет пароли с базой из 4 млрд скомпрометированных аккаунтов
Недавно хакеры выложили в открытый доступ коллекции №1–5 — в общей сложности около 2,7 млрд аккаунтов с паролями (magnet-ссылки: коллекция № 1, коллекции № 2–5). Эти пароли многие годы собирались из всех доступных источников, в том числе с российских сайтов. Каждый может проверить наличие своего пароля в базе, введя его хэш на сайте Have I Been Pwned (HIBP) или в сервисе Firefox Monitor. Теперь появился ещё один способ сделать это — через новое расширение Password Checkup для Chrome.
Password Checkup проверяет аутентичность пароля на любом сайте. Если пользователь где-то вводит скомпрометированные учётные данные, расширение сигнализирует об этом.
Как и Firefox Monitor, расширение отправляет на сервер для проверки не сам пароль, а его хэш. См. подробное описание криптографической схемы, которая в схематически изображена на иллюстрации ниже.
Google утверждает, что сверка проводится по базе из 4 млрд аккаунтов. Это больше, чем есть в базе HIBP: возможно, компания владеет базами паролей, которые ещё не попали в открытый доступ.
Google отмечает, что на её сайтах пользователи защищаются от утечек автоматически. Компания постоянно сканирует хакерские базы. Если пароль для Google Account замечен в какой-нибудь из утечек, то он автоматически деактивируется. Такая мера уже позволила в десять раз уменьшить угоны аккаунтов Google.
