Die Passwortüberprüfungsfunktion von Google hat sich im vergangenen Jahr langsam im gesamten Google-Ökosystem verbreitet. Es begann als "Password Checkup" -Erweiterung für Desktop-Versionen von Chrome, mit der einzelne Passwörter bei der Eingabe überprüft wurden. Einige Monate später wurde es in jedes Google-Konto als On-Demand-Überprüfung integriert, die Sie für alle Ihre gespeicherten Passwörter ausführen können. Anstelle einer Chrome-Erweiterung wird jetzt Password Checkup in die Desktop- und Mobilversionen von Chrome 79 integriert.
ARS TECHNICA
Diese Geschichte erschien ursprünglich auf Ars Technica, einer vertrauenswürdigen Quelle für Technologie-Nachrichten, Analysen technischer Richtlinien, Rezensionen und mehr. Ars gehört der WIRED-Mutter Condé Nast.
Alle diese Funktionen zur Kennwortüberprüfung sind für Personen geeignet, deren Benutzername und Kennwort in Chrome gespeichert und mit den Servern von Google synchronisiert wurden. Da Google über eine große (verschlüsselte) Datenbank mit all Ihren Passwörtern verfügt, kann es diese auch mit einer 4 Milliarden starken öffentlichen Liste von manipulierten Nutzernamen und Passwörtern vergleichen, die im Laufe der Jahre unzähligen Sicherheitslücken ausgesetzt waren. Jedes Mal, wenn Google einen Treffer erzielt, werden Sie darüber informiert, dass ein bestimmter Satz von Anmeldeinformationen öffentlich und unsicher ist und dass Sie möglicherweise das Passwort ändern sollten.
Der springende Punkt dabei ist die Sicherheit. Deshalb vergleicht Google Ihre verschlüsselten Anmeldeinformationen mit einer verschlüsselten Liste gefährdeter Anmeldeinformationen. Chrome sendet zuerst einen verschlüsselten 3-Byte-Hash Ihres Nutzernamens an Google, wo er mit der Liste der gefährdeten Nutzernamen von Google verglichen wird. Bei einer Übereinstimmung wird Ihrem lokalen Computer eine Datenbank mit allen potenziell übereinstimmenden Benutzernamen und Kennwörtern in der Liste der ungültigen Anmeldeinformationen gesendet, die mit einem Schlüssel von Google verschlüsselt wurden. Anschließend erhalten Sie eine Kopie Ihrer Kennwörter, die mit zwei Schlüsseln verschlüsselt sind - einer ist Ihr üblicher privater Schlüssel und der andere ist derselbe Schlüssel, der für die Liste der ungültigen Anmeldeinformationen von Google verwendet wird. Auf Ihrem lokalen Computer entfernt Password Checkup den einzigen Schlüssel, den es entschlüsseln kann, Ihren privaten Schlüssel. Dabei bleiben Ihr mit Google-Schlüssel verschlüsselter Nutzername und Ihr Passwort erhalten, was mit der mit Google-Schlüssel verschlüsselten Datenbank mit ungültigen Anmeldeinformationen verglichen werden kann. Laut Google bedeutet diese Technik, die als "Private Set-Schnittmenge" bezeichnet wird, dass die Liste der ungültigen Anmeldeinformationen von Google nicht angezeigt wird und Google Ihre Anmeldeinformationen nicht erfährt. Die beiden können jedoch auf Übereinstimmungen hin verglichen werden.
ERFAHREN SIE MEHR
Der WIRED-Leitfaden zu Datenverletzungen
Durch das Einrichten von Password Checkup in Chrome sollte die Kennwortprüfung mehr Mainstream werden. Nur die sicherheitsbewusstesten Personen würden die Chrome-Erweiterung suchen und installieren oder die vollständige Passwortprüfung unter passwords.google.com durchführen. Diese Personen haben wahrscheinlich zunächst eine bessere Passworthygiene. Wenn Sie die Funktion in Chrome integrieren, wird sie den Mainstream-Nutzern vorgestellt, die normalerweise keine Kennwortsicherheit in Betracht ziehen. Genau diese Personen benötigen diese Möglichkeit. Dies ist auch das erste Mal, dass die Kennwortüberprüfung für Handys verfügbar ist, da Chrome für Handys immer noch keine Erweiterungen unterstützt (Google plz).
Google meint: "Derzeit wird dies schrittweise für alle Nutzer eingeführt, die in Chrome als Teil unseres Schutzes für sicheres Browsen angemeldet sind." Nutzer können die Funktion im Abschnitt "Synchronisierung und Google-Dienste" der Chrome-Einstellungen steuern. Wenn Sie nicht in Chrome angemeldet sind und Ihre Daten nicht mit den Servern von Google synchronisieren, funktioniert die Funktion nicht.
