Google — Встроит систему проверки ненадежных паролей пользователей

Google добавила в Chrome проверку паролей и защиту от фишинга

Chrome – пожалуй, один из немногих продуктов Google, почти каждое обновление которого добавляет ему новых функций. Ночные темы, менеджеры паролей, блокировщики рекламы, изоляция сайтов – каких только нововведений не появилось в браузере за последние несколько месяцев. Однако Google не останавливается и продолжает работать над развитием Chrome, стараясь сделать его не только удобным и функциональным, но и безопасным. Поэтому в последнем обновлении в браузере появился встроенный механизм оповещения о компрометации паролей.

Google Chrome будет защищать ваши пароли от взлома, а вас — от фишинговых атак

Читайте также: Google выведет управление вкладками в Chrome на новый уровень

Под умным словом «компрометация», конечно же, подразумевается банальная утечка. В конце концов, никто не застрахован от кражи пароля от учётной записи, в поисках которых злоумышленники постоянно рыщут по интернет-пространству. Недостаточно сложная комбинация, дублирование одного и того же пароля или просто халатное отношение к его сохранности могут привести к тому, что доступ к вашему аккаунту получит кто-то посторонний. Поэтому Google оснастила Chrome специальным механизмом, который будет отслеживать подобные случаи и сообщать об этом вам.

Как работает защита паролей в Chrome

Chrome получил новые защитные механизмы, которые призваны обеспечить вашу безопасность

На самом деле механизм, о котором идёт речь, был доступен пользователям Chrome и ранее, но только в виде расширения Password Checkup. Но поскольку многие уже давно не устанавливают новых расширений, а следовательно, не имеют и понятия о существовании настолько удобной утилиты для браузера, Google приняла решение встроить его прямо в Chrome. Он сверяет ваш пароль с базой данных из нескольких сотен миллионов взломанных паролей и в случае обнаружения совпадений оповещает пользователя, рекомендуя ему усилить защиту.

Хеширование – в буквальном переводе означает “мешанину”. По сути, это процесс кодирования какой-то информации, позволяющий не хранить её в открытом виде, но при этом иметь возможность определить её достоверность. Все пароли, которые мы используем в интернете, подлежат хешированию, а для их сопоставления используется своего рода маска, которая по правильному называется хеш-суммой.

Password Checkup работает в нескольких режимах. Первый режим предполагает анализ новых паролей, которые вы вводите при регистрации на сайтах. Второй состоит в том, чтобы не допустить использования одинаковых комбинаций на разных сайтах. При этом сама Google не может видеть сами пароли или имена учётных записей из-за применяемой системы хеширования, которая преобразовывает пароль в некоторую комбинацию, называемую так же хеш-суммой. Однако, если вы переживаете, что ваш пароль кем-то анализируется, вы можете отключить функцию проверки в настройках, если нововведение уже появилось в вашем браузере.

Защита от фишинга в Chrome

В дополнение ко всему Google реализовала в Chrome систему защиты от фишинга. Она работает вне зависимости от того, прошёл пользователь авторизацию со своей учётной записью или нет. Браузер будет самостоятельно проверять URL-адрес, по которому вы переходите, сверяя его с базой поддельных ресурсов. Это происходит каждый раз, когда вы открываете какой-либо сайт в браузере. В результате работы системы защиты от фишинга удаётся сократить вероятность посещения фальшивых ресурсов на 30% от базовых показателей.

Читайте также: Как включить Google Lens в Chrome на Android

Обновление с описанными нововведениями распространяется постепенно, поэтому, если вы ещё не получили его, рекомендуем немного подождать. Google специально ограничивает аудиторию тех, кто может установить новую версию Chrome, чтобы в случае чего отозвать её и не подвергать пользователей опасности. Как правило, апдейт становится доступным в течение нескольких дней или недель после запуска. Его смогут скачать пользователи всех платформ, в том числе Android, iOS, macOS, Windows и Linux.

Android – операционная система, вокруг которой сложилась масса стереотипов, слабо коррелирующих с реальностью. Например, в определённых кругах принято считать, что Android в принципе не может нормально функционировать из коробки и её обязательно нужно всячески настраивать, конфигурировать и допиливать. Или, допустим, что Android настолько тяжёлая платформа, что её еле-еле вытягивают смартфоны даже с 6 ГБ оперативки, не говоря уже о более слабых моделях. Однако есть и такие стереотипы, которые действительно основаны на реальных особенностях ОС.

В этом году почти у всех корпораций все планы пошли наперекосяк. Но если одни вроде Apple постарались максимально скрыть это от потребителей, то другие вроде Google этого сделать не смогли. В результате поисковый гигант был вынужден в принципе отменить проведение Google I/O, отказавшись переносить её в онлайн, и заменить офлайновую презентацию следующей версии Android прямой трансляцией на YouTube. Казалось бы, всё в рамках сложившейся в мире ситуации, однако Google под шумок просто отложила запуск Android 11 на целый месяц.

Google, что бы там ни говорили пользователи Android, очень ответственно относится к обновлениям. Поэтому редкий сервис компании обходится без апдейтов на протяжении хотя бы одного месяца. Штатные службы операционной системы и вовсе могут получить несколько патчей даже за одну неделю. Однако есть у Google и такие сервисы, которые она может не обновлять годами, исправно делая вид, что в её ассортименте нет ничего подобного, а потом, когда все уже успели их похоронить, взять и выпустить масштабное обновление. Сможете угадать, о каком сервисе идёт речь? Конечно, о Google Authenticator.

Google встроил функцию проверки паролей на утечки в Chrome Canary

Веб-браузер Google Chrome позволяет сохранять и управлять паролями от сайтов и веб-сервисов, как, впрочем, и любой другой современный браузер. По умолчанию Chrome предлагает сохранить пароль каждый раз, когда пользователь вводит учетные данные на сайтах, чтобы при повторных посещениях автоматически заполнять логин и пароль.

В Chrome предусмотрены все основные функции управления паролями, причем вы можете управлять паролями даже удаленно. В 2019 году Google выпустил расширение Password Checkup для Chrome, которое проверяет хеш-суммы вводимых пользователем в Chrome паролей в базе данных известных утечек.

Базы украденных паролей могут быть опубликованы в Интернете и стать общедоступными. Google — далеко не единственная компания, которая проводит проверку паролей на утечки. На рынке существует несколько сервисов, которые позволяют проверить свой адрес электронной почты и пароли на предмет взлома.

Некоторые менеджеры паролей, в том числе KeePass поддерживают локальную проверку паролей, а сервис в браузер Firefox Mozilla недавно добавила инструмент проверки Firefox Monitor, функциональность которого организация планирует расширять.

Самая свежая версия Chrome Canary получила новый экспериментальный флаг, который позволяет разблокировать встроенную функцию проверки пароля. Вместо того, чтобы устанавливать дополнительное расширение от Google, пользователи Chrome получают уже встроенный в браузер инструмент, который будет проверять безопасность учетных данных каждый раз, когда они вводят пароль в Интернете.

На данный момент функция является экспериментальной, поэтому она отключена по умолчанию. Чтобы протестировать новый функционал вам нужна самая последняя сборка Chrome Canary.

Экспериментальные функции могут присутствовать и в других версиях Chrome. В некоторых случаях благодаря нативной интеграции пользователям не нужно включать функцию вручную. Однако, Google может удалить экспериментальные функции в любой момент, поэтому нет никаких гарантий, то они станут доступны в стабильном Chrome.

Как включить функцию проверки безопасности паролей в Chrome:

• Откройте страницу chrome://flags в браузере.
• Выполните поиск по запросу: Password Leak Detection.
• Измените статус одноименной функции с Default на Enabled.
• Перезапустите Chrome.

Функция обнаружения утечек станет активной после перезапуска. Chrome будет проверять контрольные суммы пароля в базе данных хешей украденных паролей, поддерживаемой Google. Если значения совпадут, то пользователь получит предупреждение о ненадежности пароля. В этом случае рекомендуется незамедлительно сменить пароль, чтобы защитить учетную запись.

Совершенно естественно, что в браузерах появляются инструменты проверки безопасностей паролей. Однако, некоторые пользователи недовольны, что хеш-суммы их паролей отправляются на сторонние серверы. В любом случае, как Firefox Monitor, так и Password Leak Detection являются необязательными функциями на данный момент. Кроме того, вы всегда можете хранить пароли в офлайн менеджерах паролей, например в KeePass.

Как вы относитесь к новой функции проверки паролей в Chrome и к общей тенденции интеграции подобной функциональности в браузеры? Поделитесь в обсуждениях.

Как сменить ненадежные пароли в аккаунте Google

Ненадежными считаются слишком простые пароли, а также те, которые используются в нескольких аккаунтах или известны посторонним. Вы можете проверить, есть ли такие пароли в вашем аккаунте Google, и вовремя их сменить.

1. На компьютере откройте страницу passwords.google.com.
2. Нажмите Проверить пароли. При необходимости выполните вход.
3. Следуйте дальнейшим инструкциям.

Совет. Если вы войдете в Chrome и включите синхронизацию, пароли в вашем аккаунте Google будут автоматически обновляться на других сайтах.

Надежные пароли

После окончания проверки возможны три типа результатов.

Подробнее о похищенных паролях…

Важно! Если под угрозой окажется ваш пароль от аккаунта Google, мы попросим изменить его, даже если вы не используете функцию “Проверка паролей”. Если в вашем аккаунте Google обнаружены подозрительные действия, защитите его, следуя этим инструкциям.

Похищенные комбинации имен пользователей и паролей небезопасны, так как доступ к ним могли получить пользователи Интернета. Мы рекомендуем как можно быстрее менять такие пароли.

Посмотрите на утечки данных, с которыми мы сверяемся

Мы проверяем комбинации имен пользователей и паролей, которые были раскрыты из-за различных утечек данных (но о некоторых из них можем не знать). Вот наш список источников:

• 000webhost
• 17 Media
• 1.4B collection
• 7k7k
• Adobe
• Anti-Public
• Badoo
• Bitly
• Collection 1-5
• Dropbox
• Exploit.in
• iMesh
• Imgur
• Last.fm
• Lifeboat
• LinkedIn
• Mate1
• Neopets
• NetEase
• Nexus Mods
• Pemiblanc
• R2Games
• Rambler
• Tianya
• Tumblr
• VK
• VN
• Yandex
• Youku
• Zoosk

Подробнее о повторяющихся паролях…

Если вы используете один и тот же пароль для нескольких аккаунтов, риск взлома возрастает. Мы настоятельно рекомендуем выбирать уникальный пароль для каждого аккаунта.

Совет. Разрешите Chrome подобрать и сохранить надежный пароль для вашего аккаунта Google. Подробнее…

Подробнее о простых паролях…

Пароли, состоящие из одного слова, включающие очевидные фразы и простые комбинации клавиш, легко подобрать. Мы рекомендуем использовать более надежные варианты.

Менеджер паролей Google начнет предупреждать пользователей о ненадежных паролях

Поделитесь в соцсетях:

Вместе с несколькими нововведениями, нацеленными на повышение конфиденциальности пользователей, Google анонсировала изменение, призванное обеспечить более высокий уровень защиты в интернете. Речь об обновлении встроенного в Chrome и Android менеджера паролей Google — теперь он может дать оценку надежности сохраненных и используемых пользователем паролей.

Если тот или другой пароль пользователя ненадежен, функция Password Checkup сообщает об этом, настоятельно рекомендуя сменить его на другой. Если один и тот же пароль используется для нескольких аккаунтов или комбинация слишком простая — пользователь тоже получит предупреждение.

До этого момента проверка паролей работала только через фирменное расширение Google Password Checkup, которое было запущено в феврале этого года. Теперь раздел «Проверка паролей» есть непосредственно в браузере Chrome. В будущем функциональность будет по умолчанию встроена прямиком в браузер Chrome, что существенно упростит работу с инструментом.

Пароли передаются на проверку в зашифрованном виде, так что за безопасность можно не переживать. В ходе проверки выполняется сверка данных с базой «ненадежных паролей», замеченные в разного рода утечках. Само собой, Google намерена постоянно обновлять базу, черпая информацию с различных источников, включая дарквеб. Ранее Google говорила, что сверка проводится по базе из 4 млрд аккаунтов.

По словам Google, с момента запуска расширение Password Checkup для браузера Chrome загрузили более миллиона раз, примерно половина пользователей получили уведомления, что их пароли были украдены третьими лицами.

В данном контексте будет уместно вспомнить о схожем сервисе Have I Been Pwned («Взламывали ли меня?»), разработанном австралийским специалистом по кибербезопасности Тройем Хантом. С его помощью пользователи могут проверить, были ли замечены их логины и адреса электронной почты в утечках данных. Сейчас в базе данных сайта содержатся сведения о более 8,5 млрд миллиардах аккаунтах из 406 взломанных сервисов. По сути, Google решила сделать свой собственный сервис по примеру Have I Been Pwned.

Chrome предупредит вас о попытке кражи вашего пароля

Google сегодня выпускает версию Chrome 79, которая включает ряд улучшений защиты паролей. Самое большое дополнение в том, что Chrome теперь будет предупреждать вас, когда ваш пароль будет украден как часть утечки данных. Google предупреждает о повторном использовании паролей в отдельном расширении браузера или в своем инструменте проверки паролей, но теперь компания внедряет это непосредственно в Chrome, чтобы получать предупреждения при входе на сайты в Интернете.

Вы можете управлять этой новой функцией в настройках синхронизации в Chrome, и Google использует сильно хешированные и зашифрованные копии паролей, чтобы сопоставить их с использованием нескольких уровней шифрования. Это позволяет Google надежно сопоставлять пароли, используя технику, называемую частным пересечением множеств с «ослеплением».

Ага, браузер, который пиздит любую статистику, до которой только может добраться, предупредит о краже пароля. А гопники в Бирюлево предупредят в каком банкомате лучше снимать наличку.

И что изменилось? Можно понашенски?

Выпущенное почти год назад расширение стало частью основной ветки хрома.
Про расширение https://russia.googleblog.com/2019/02/blog-post_5.html

Google избавит Chrome и Youtube от назойливой рекламы

Компания Google представила новые правила для видеорекламы в браузере Chrome, которые позволят избавиться от наиболее раздражающих пользователей видов рекламы.

Новые правила основаны на данных, полученных от международной организации Coalition for Better Ads (Коалиция за лучшую рекламу), в которую входит и сама Google.

По словам Google, у владельцев сайтов есть четыре месяца на то, чтобы приспособиться к новым правилам и перестать показывать назойливую рекламу.

Coalition for Better Ads провела исследование среди 45 тысяч пользователей по всему миру. Опрос показал, что большинство пользователей находят особенно раздражающей рекламу, которая заставляет ждать начала дольше 5 секунд, ролики, вставляемые в середину видео, а также изображения или текст, которые появляется на поверх видео и закрывают больше 20% видеоконтента.

С 5 августа 2020 года Chrome начнёт полностью блокировать рекламу в таком формате. Как подчеркнула Google, фирменному видеосервису YouTube тоже придётся выполнять новые правила.

В Chrome началось тестирование третьей редакции манифеста, несовместимой с uBlock Origin

Компания Google начала тестирование третьей редакции манифеста Chrome, нарушающей работу многих дополнений для блокирования нежелательного контента и обеспечения безопасности. Поддержка нового манифеста, который определяет возможности и ресурсы, предоставляемые дополнениям, добавлена в экспериментальные сборки Chrome Canary. Новый манифест разработан в рамках инициативы по усилению безопасности, конфиденциальности и производительности дополнений (основной целью является упрощение создания безопасных и высокопроизводительных дополнений, и усложнение возможности создания небезопасных и медленных дополнений).

Манифест пока находится на стадии раннего альфа-тестирования, не является окончательным и добавлен, чтобы дать разработчикам возможность начать экспериментировать и адаптировать свои дополнения. Активация нового манифеста ожидается в следующем году. Время прекращения поддержки второй редакции манифеста пока не определено. Для упрощения миграции дополнений на новый манифест подготовлен проверочный список, включающий изменения, на которые следует обратить внимание разработчикам дополнений.

Напомним, что основное недовольство новым манифестом связано с прекращением поддержки блокирующего режима работы API webRequest, который будет ограничен режимом только для чтения. Исключение будет сделано лишь для редакции Chrome для предприятий (Chrome for Enterprise), в которых поддержка API webRequest будет сохранена. Компания Mozilla решила не следовать за новым манифестом и сохранить в Firefox возможность полного использования API webRequest.

Вместо API webRequest для фильтрации контента в новом манифесте предложен декларативный API declarativeNetRequest. Если API webRequest позволял подключать собственные обработчики, имеющие полный доступ к сетевым запросам и способные на лету модифицировать трафик, новый API declarativeNetRequest предоставляет доступ к готовому универсальному встроенному движку для фильтрации, самостоятельно обрабатывающему правила блокировки, не разрешающему использовать собственные алгоритмы фильтрации и не позволяющему задавать сложные правила, перекрывающие друг друга в зависимости от условий.

В новом манифесте также представлены и другие изменения, влияющие на совместимость с дополнениями. Среди них:

Переход к выполнению Service workers в форме фоновых процессов, что потребует от разработчиков изменения кода некоторых дополнений.

Новая гранулированная модель запроса полномочий – дополнение не сможет активироваться сразу для всех страниц (убрано полномочие “all_urls”), а будет работать только в контексте активной вкладки, т.е. пользователю потребуется подтверждать работу дополнения для каждого сайта.

Изменение обработки Cross-origin запросов – в соответствии с новым манифестом на скрипты обработки контента будут распространяться те же ограничения полномочий, что и для основной страницы, в которую эти скрипты внедряются (например, если страница не имеет доступа к API определению местоположения, то и скрипт дополнения также не получит этот доступ).

Запрет выполнения кода, загруженного с внешних серверов (речь про ситуации, когда дополнение подгружает и выполняет внешний код).