Компания Google подготовила (https://security.googleblog.com/2019/02/protect-your-account... дополнение Password Checkup (https://chrome.google.com/webstore/detail/password-checkup/p... предназначенное для анализа надёжности используемых пользователем паролей. При попытке входа на любой сайт дополнение выполняет проверку логина и пароля по базе скомпрометированных учётных записей и в случае проблем выводит предупреждение. В настоящее время коллекция Google насчитывает сведения о более чем 4 миллиардах скомпрометированных аккаунтов, фигурировавших в тех или иных утечках пользовательских баз.
Для сохранения конфиденциальности, при обращении к внешнему API передаётся лишь первые два байта хэша от связки из логина и пароля (для хэширования используется алгоритм Argon2 (https://en.wikipedia.org/wiki/Argon2)). Полный хэш шифруется ключом, генерируемым на стороне пользователя. Исходные хэши в базе Google также дополнительно шифруются и оставляются для индексации только первые два байта хэша. Конечная сверка хэшей, подпадающих под переданный двухбайтовый префикс, производится на стороне пользователя с использованием криптографической техники "ослепления (https://en.wikipedia.org/wiki/Blinding_(cryptography))", при которой ни одна из сторон не знает содержимое сверяемых данных. Для защиты от определения содержимого базы скомпрометированных учётных записей путем перебора с запросом произвольных префиксов, отдаваемые данные шифруются в привязке к ключу, сгенерированному на основе проверяемой связки логина и пароля.
URL: https://security.googleblog.com/2019/02/protect-your-account...
Новость: https://www.opennet.me/opennews/art.shtml?num=50103
Вслед за Mozilla: https://www.opennet.me/opennews/art.shtml?num=49337
храню все пароли в голове, чяднт?
Я приду когда ты будеш спать...
А я к тебе, ведь ты меня так боишься.
> храню все пароли в голове, чяднт?Очевидно, никогда не пробовали вспомнить пароль второстепенной учетки десятилетней давности? (ну или вы счастливый обладатель фотографической памяти, тогда да).
К тому же, чем это поможет от угона на стороне сервиса (a 4 мрд. "скомпрометированных аккаунтов" набрали совсем не троянами)?
https://www.opennet.me/cgi-bin/opennet/ks.cgi?mask=hack
2 [02.08.2018] Компрометация учётных записей сотрудников Reddit привела к утечке БД
4 [09.06.2018] Сообщение о взломе LinuxForums.org и утечке 275 тысяч учётных записей
5 [22.11.2017] Uber раскрыл сведения об утечке персональных данных 57 млн пассажиров
7 [23.09.2016] Yahoo подтвердил утечку 500 млн учётных записей
8 [07.09.2016] Раскрыта информация об утечке учётных записей 98 млн пользователей Rambler
10 [02.09.2016] В 2012 году взлом Last.fm привёл к утечке хэшей паролей 43 млн пользователей
11 [01.09.2016] Утечка учётных записей 68 млн пользователей Dropbox
Наоборот облегчит взлом там, где пароли не хранились сразу в текстовом формате, т.к. обычные люди (по слухам) испытывают некоторые трудности с придумыванием и запоминанием паролей вида qx3UEeKAiv+, поэтому или пароли достаточно просты или используются для нескольких учеток или все факторы вместе.
Все твои "3 пароля на все сервисы" которые ты помнишь получить не сложно :)
Не важно, где ты их хранишь.
Важно, где ты их вводишь
Спасибо за ваш уникальный пароль! (ц)
Очередная акция по оболваниванию пользователей.Что такое "ослепление" и "Argon" они не зают (и никогда не узнают). А что сообщать свой пароль Гуглу — "круто, модно, молодёжно", уже приучены.
Впрочем, идея уже не нова. Помнится, была платформа по "борьбе со спамом", которая в обмен на пароль от почтового ящика "удаляла оттуда спам" (а на самом деле делилась содержимым ящика со спамерами). И толпы идиотов повелись! Не удивлюсь, если большинство тех лохотроншиков уже нашли работу в центрах по промыванию мозгов Alphabet Inc.
> Очередная акция по оболваниванию пользователей.
> Что такое "ослепление" и "Argon" они не зают (и никогда не узнают).
> А что сообщать свой пароль Гуглу — "круто, модно, молодёжно", уже
> приучены.Так у гугля оно уже все есть -- синхронизация гуглоаккаунта прилежно сливает туда все данные.
https://support.google.com/accounts/answer/6197437?co=GENIE....
> Sync passwords across your devices
> Manage offers to save passwords
> You can let Chrome remember passwords for sites and sign you in automatically using the passwords saved in your Google Account.
> Offer to save passwords is on by default, and you can turn it off or back on.
"
Через некоторое время Сисадмин воскликнул:
– Учитель, я подобрал хороший пароль, которого не может быть в словарях.
Инь Фу Во кивнул.
– Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.
– Теперь есть.
"
(с) уже классика
Зачем вы рекламируете InfoWatch?
> Зачем вы рекламируете InfoWatch?На самом деле я рекламирую natribu.org - сайт, на котором, я уверен, каждый пользователь Рунета обязан хоть раз побывать. А у Роскомнадзора и прочих регуляторов электронных свобод он вообще должен быть домашней страницей.
теперь он "уже есть" даже если ты не вводил его в гугле.Инь Фу Во сделал бы себе харакири, если бы дожил до этого времени.
А проблем с регистром в логине не будет? Например, из базы утекло сочетание
vasya.pupkin@example.com
123456
А пользователь при логине пишет email в виде "Vasya.Pupkin@example.com" и уже сайт приводит его в нижний регистр. В каком виде расширение захеширует связку логина и пароля в этом случае? А если исходный сайт тоже учитывает регистр?
Я думаю, что гулаг переводит мыло в строчные буквы
Хорошо, пусть это будет не мыло, а просто логин "Vasyan". Как расширению понять, что сайт не учитывает регистр? Можно всё переводить и в бд и в расширении в нижний регистр, но тогда возможен ложнопозитивный результат. Впрочем, этим, наверное, можно пренебречь, но всё же.
https:://passwords.google.com/ - самая большая база ваших паролей, пополняется ежесекундно! Сборщик паролей встроен в хром, пользователю ничего делать не нужно. Киллер-фича!
он и без всяких расширений туда (может быть) встроен
Значит через полгода запилят прямо в браузер. А пока поиграют в демократию.
Сдаётся мне (параноику) что созрел заказ на некое машинное обучение взлома паролей. Эдакий GJohnTheRipper.
Если что-то предлагает Майкрософт - это будет вам потом дорого стоить.
Если берется гугл - мутится что-то гипер-технологичное по чему-то заказу.
Другого пока не видел.
И мутные воды Нила сомкнулись над вашей мыслью. Если только это была она.
Я человек простой и скажу просто: "спасибо, поставил".
Видать аргон с небезопасными параметрами. С безопасными они бы утекшие базы паролей бы не прохешировали - никаких бы суперкомпьютеров не хватило.
> Google опубликовал браузерное дополнение для компрометации паролейпофиксил заголовок
Жрёт оперативу.
сомнительно...
А чё минусуем-то? Волков бояться - Хром не ставить. Расширение для Хрома, который и без расширений имеет доступ ко всем паролям, которые в нем на сайтах вводишь.
>Хром не ставитьА мы и не ставим.
>Расширение для Хрома, который и без расширений имеет доступ ко всем паролям, которые в нем на сайтах вводишь.
Есть аддон для ФФ, переделывающий хромовские расширениия под фф и ставящий их из хромого стора.
> коллекция Google насчитывает сведения о более чем 4 миллиардах скомпрометированных аккаунтовлюбой пароль уехавший в гугл (из хрома или андроида) можно считать скомпрометированным по определению.
)
>храню все пароли в голове, чяднт?Их не хранить надо, а отключить фичу в Настройках: Settings-->Password-->Offer to save password. И будет тебе счастье.
Прочитал как
>Google опубликовал браузерное дополнение для компрометации паролей
Будут проверять и сами стягивать данные.