Сервис сообщит, какие пароли ранее оказались в руках хакеров.
Сегодня вы можете проверить, не оказались ли ваши пароли, которые сохранены в вашем аккаунте Google, в руках злоумышленников. Для этого достаточно зайти в диспетчер паролей: он сопоставит ваши данные с базой всех крупных утечек.
Информацию об утечках Google собирает сама. В основном данные поступают из открытых источников, но иногда компания находит украденные пароли на просторах тёмного интернета.
Если Google обнаружит, что какие-то ваши пароли ранее попали в открытый доступ, то предложит их сменить. Также сервис сообщит, если вы используете один и тот же пароль на большом количестве сайтов. Диспетчер предупредит и о слишком слабых паролях, которые легко угадать.
Удобно? Безусловно! Безопасно? Не думаю.
Как это работает?
Безусловно, вы знаете, что у Google довольно давно есть менеджер паролей, который синхронизируется между Chrome и Android. В этот менеджер компания добавляет функцию «проверки пароля», которая проанализирует ваши логины, чтобы убедиться, что они не были частью серьезного нарушения безопасности, ведь на сегодня подобных утечек паролей было очень и очень много.
Ранее проверка пароля уже была доступна в качестве расширения, но сейчас Google встраивает ее прямо в элементы управления учетной записью Google. Проверить ваши пароли вы можете на сайте passwords.google.com, который является ярлыком URL для менеджера паролей Google.
Ваши учетные данные сравниваются с миллионами миллионов скомпрометированных учетных записей, которые были частью серьезных нарушений. Google говорит, что он также в некоторой степени контролирует темную сеть для сбора паролей, но большая часть базы данных, с которой сравнивается проверка паролей, происходит от сканирования открытой сети.
Стоит понимать, что у Google это ни в коем случае не единственный сервис, кто делает подобные проверки. В эпоху постоянных утечек и нарушений безопасности в крупных компаниях, затронувших десятки, а может и сотни миллионов клиентов таким полезным ресурсом оказался haveibeenpwned.com.
Если ваш пароль скомпрометирован или оказался слишком простым, Google предложит вам изменить соответствующий пароль. То же самое касается, если Google видит, что вы повторно используете пароли, что является ужасной практикой; ведь все сервисы должны иметь уникальный логин-пароль. И, конечно же, Google также будет уведомлять вас об учетных записях с использованием слабых паролей, которые легко угадываются. При этом нужно учесть, что пароли хешировались и шифровались перед отправкой в Google.
Поскольку проверка пароля основывается на отправке вашей конфиденциальной информации в Google, компания стремится подчеркнуть, что она зашифрована и что она не может просмотреть ваши данные. Пароли в базе данных хранятся в хешированном и зашифрованном виде, и любое предупреждение о ваших данных полностью локально для вашего компьютера.
Марк Ришер, директор Google по безопасности учетных записей, обратил внимание на то, что потребителей все чаще просят хранить свои пароли в нескольких местах одновременно. У Apple есть iCloud Keychain. У Google есть менеджер паролей. А кроме того у вас есть менеджеры паролей — 1Password, LastPass и другие сторонние менеджеры паролей. Что делать? Выбрать менеджер и придерживаться его в дальнейшем? Или попытаться синхронизировать несколько менеджеров паролей? Вероятность несоответствия или наличия старого неправильного пароля в одном из этих мест довольно высока. На самом деле нет хорошего ответа на этот вопрос
Согласно опросу Harris Poll, посвященному проверке привычек пользователей в использовании паролей в США, результаты весьма тревожны. Слишком многие все еще включают в пароли предметы, которые незнакомец может легко узнать — например, день рождения, имя питомца и т. Д. И мало кто говорит о преимуществах дополнительных мер безопасности, таких как двухфакторная аутентификация (ее используют только 37% респондентов) и менеджеров паролей (15%).
66 процентов опрошенных заявили, что используют один и тот же пароль для нескольких учетных записей в Интернете.
Повторное использование пароля — это главная привычка, которую Google пытается сломать, потому что использование одного и того же пароля для нескольких служб может поставить вас в ужасное положение, если хотя бы один из сервисов будет скомпрометирован. Если вы не поклонник цифровых менеджеров паролей, просто запишите их где-нибудь дома. Даже это хороший вариант, поскольку не будете повторять один и тот же пароль.
Почему я не буду использовать этот сервис
Прежде всего потому что это привязывает меня к браузеру от Google, а меня это не устраивает. Увы, но использовать Google Chrome в корпоративной среде, с моей точки зрения, дурная затея. Почему?
Во-первых, прежде всего потому что управлять централизованно настройками данного браузера с помощью групповых политик я так и не научился. Может быть это и возможно, но я этого не увидел.
Во-вторых, сложности возникнут с обновлением браузера. Ведь обновить его можно только с правами администратора. А кто из нас в трезвом уме даст пользователю права локального администратора? Думаю, что никто.
Согласен, что данный сервис в первую очередь предназначен для персональных пользователей. И тут есть ряд вопросов.
Вы доверяете компании Google? Я с большим трудом. Вспомним «Пароли хранятся в шифрованном виде.» А теперь вопрос. Где хранится мастер-пароль? У вас? Не думаю. Скорее всего он хранится у специалистов Google. В крайнем случае информации достоверной об этом нет.
А как быть если вы используете не только браузер Google Chrome? Например, вы используете дома Chrome, а планшет от Apple, впрочем, как и iPhone. Тогда вам придется устанавливать браузер от Google на все устройства.
Что посоветую я? Использовать сторонние менеджеры паролей. Благо их много. И то, я бы рекомендовал бы использовать платные версии.
Впрочем, естественно, выбирать вам.
Чуть не забыл. Если вы станете запоминать ваши пароли в Google, вам потребуется уделить внимание:
- Защите вашего ПК (смартфона). Ведь любой, получивший доступ к нему, автоматически получает доступ ко всем вашим паролям.
- Кроме того, стоит внедрить многофакторную аутентификацию для вашего аккаунта Google
- Помнить, что несмотря на двухфакторную аутентификацию, любой, получивший доступ к вашему ПК (смартфону), даже если вы вышли из учетной записи Google, будет нуждаться только в вашем пароле, второй фактор ему не потребуется.