HWSW

Két új biztonsági fejlesztést hozott a Google

A Password Checkuppal a Chrome-ot, a Cross Account Protectionnel a Sign Int teszi biztonságosabbá a Google.

Egy új Chrome bővítménnyel, illetve a Sign In továbbfejlesztésével igyekszik növelni a böngészés biztonságát a Google. Az egyelőre opcionálisan telepíthető Password Checkup [1] add-on segítségével a felhasználó azonnal figyelmeztetést kap, ha a böngészés során olyan jelszót használ amely egy korábbi biztonsági incidens során már kompromittálódott. A másik újítás elnevezéséhez hűen a fiókokon átívelő védelmet hivatott javítani. A Cross Account Protection a Google-bejelentkezés (vagy Google Sign In) biztonságát emeli egy szinttel feljebb: amennyiben bármilyen módon illetéktelen kézbe kerül a felhasználó hozzáférése, a rendszer erről értesítést küld a bekötött weboldalaknak, amelynek fényében ideiglenesen korlátozható a bejelentkezés.

A Chrome böngészőhöz telepíthető Password Checkup bővítmény a cég közleménye alapján kifejezetten hasznosnak tűnik. Az add-on aktiválását követően a Google értesítést küld, ha bejelentkezéskor olyan felhasználónevet és jelszót adunk meg internetes online fiókjainkban, amelyek egy, a Google által ismert adatszivárgás miatt már többé nem biztonságosak. Amennyiben a rendszer egyezést talál, kérni fogja, hogy módosítsuk a jelszót. A Google kiemeli, hogy az adatok többszöri titkosításon mennek keresztül, így a felhasználónévre és az ahhoz tartozó jelszóra senki nem lát rá, amibe természetesen maga a cég is beletartozik. A Google sem az összevetéshez használt adatbázis forrását, sem pedig a titkosítás menetét nem részletezi. A hasonló célokra például a HIBP (Have I Been Pwned) SHA-1 algoritmust használ, az ezzel készített lenyomatokat veti össze az oldal.

google_pw_checkup

A Google bővítményéhez hasonló fejlesztéssel néhány cég már korábban jelentkezett. A 1Password például tavaly mutatta be a Watchtowert, amely az épp imént említett HIBP adatbázisával veti össze a felhasználóneveket és jelszavakat. Némileg más módon, egy saját weboldalon keresztül használja ugyanezt az adatbázist a Mozilla [2]. A Password Checkup előnye, hogy a 1Passwordhöz viszonyítva ingyenes, a Firefox Monitorhoz képest pedig kényelmesebb, hisz a felhasználónak nem manuálisan kell ellenőrzést végeznie, ezt a bővítmény megteszi helyette. A Google add-onjának ellenére továbbra sem javasolt a jelszavak újrahasznosítása a különböző online szolgáltatások között, ez ugyanis óriási biztonsági kockázatot hordoz. Ahol csak lehet, célszerű a kétfaktoros autentikáció, illetve a megbízható jelszókezelő használata.

xA Cross Account Protection ugyancsak a különféle weboldalakra vagy applikációkba való belépés biztonságát növeli a Sign In továbbfejlesztésével. A Sign In lényege, hogy az kényelmes beléptetést kínál, hisz nem kell több különféle jelszót létrehozni (és megjegyezni), a támogatott oldalakon a Google fiók felhasználónevével és jelszavával lehet elvégezni a szükséges azonosítást. Utóbbi páros azonban szintén kompromittálódhat, ha pedig nincs bekapcsolva a kétfaktoros azonosítás, a támadó több más oldalra is beléphet.

Amennyiben a Google bármilyen forrásból tudomást szerez a felhasználó felhasználónév-jelszó párosának lehetséges kiszivárgásáról, azonnal értesíti a Sign Int alkalmazó oldalak üzemeltetőit, amelyek a felhasználó védelmének érdekében megtehetik a szükséges óvintézkedéseket. A Google hangsúlyozza, hogy csak a legszükségesebb információkat adja tovább, így például az incidens tényét és annak típusát. Ezeket csak a potenciálisan érintett oldalak kapják meg, vagyis azok, ahol a felhasználó Sign Int alkalmaz a belépéshez.

A cikkben hivatkozott linkek:
[1] https://chrome.google.com/webstore/detail/password-checkup/pncabnpcffmalkkjpajodfhijclecjno
[2] https://www.hwsw.hu/hirek/59428/mozilla-firefox-monitor-have-i-been-pwned-biztonsag.html
A cikk adatai:
//www.hwsw.hu/hirek/59971/google-chrom-password-checkup-cross-account-protection.html
Író: Asztalos Olivér (oliver.asztalos@hwsw.hu)
Dátum: 2019. február 08. 12:52
Rovat: digitális otthon