O Google acaba de lançar uma nova extensão do navegador Chrome que avisa se uma combinação de nome de usuário e senha foi comprometida em uma violação de dados.
Chamada de verificação de senha, a extensão está disponível agora, embora o Google avise que ainda é um trabalho em andamento. A verificação de senha compara as credenciais inseridas em qualquer site com um banco de dados de quatro bilhões de conjuntos de credenciais comprometidos conhecidos e permite que você saiba se a combinação nome de usuário-senha não é mais adequada.
Portanto, se você entrar no Acme.com com o nome de usuário "[email protected]" e a senha "BeepBeep", a verificação de senha enviará uma versão criptografada dessas credenciais para seu banco de dados.
Se o combo [email protected]/BeepBeep estiver entre os quatro bilhões de conjuntos de credenciais hackeados, você receberá um grande aviso vermelho de que "sua senha para www.acme.com não é mais segura devido a uma violação de dados". e que você deve alterar sua senha. Caso contrário, você terá a certeza de que está tudo bem.
MAIS: Melhores gerenciadores de senha
O Google disse a Lily Hay Newman da Wired que seu banco de dados não é o mesmo que o banco de dados Have I Been Pwned de seis bilhões de conjuntos de credenciais comprometidos mantidos pelo pesquisador de segurança australiano Troy Hunt. No entanto, deve haver alguma sobreposição entre os dois.
Há outra grande diferença: o Have I Been Pwned permite que você verifique as senhas por conta própria e os endereços de e-mail, mas nunca os dois ao mesmo tempo. Isso porque Hunt não quer que o Have I Been Pwned seja usado por ladrões de identidade para verificar se uma combinação específica de endereço de e-mail / senha é válida.
Caso contrário, qualquer um poderia tentar usar a "força bruta", executando, digamos, as 1.000 senhas mais comumente usadas em uma lista de endereços de e-mail conhecidos ou gerados.
A verificação de senha do Google verifica as duas credenciais ao mesmo tempo, o que nos deixa um pouco preocupados com a possibilidade de a extensão do navegador tornar as credenciais inseguras ainda menos seguras. (Usá-lo para verificar suas próprias senhas deve ser perfeitamente adequado.)
Uma postagem oficial no blog do Google diz que a empresa "projetou o Password Checkup para evitar que um invasor abuse do Password Checkup para revelar nomes de usuário e senhas inseguros".
Não tivemos a chance de fazer o teste de resistência da Verificação de senha para ver se essas proteções contra força bruta funcionam. Mas alguém certamente o fará.
Esta postagem apareceu originalmente no Tom's Guide.
- Os melhores laptops para negócios e produtividade