Controllo password rubate: arriva l'estensione per Chrome di Google per scoprire se si è compromessi

Controllo password rubate: arriva l'estensione per Chrome di Google per scoprire se si è compromessi

Preoccupati per la sicurezza della vostra password? La soluzione migliore la offre, al solito, Google, con una nuova estensione per Google Chrome. Ecco come funziona e dove scaricarla

di pubblicata il , alle 15:21 nel canale Sicurezza
GoogleChrome
 

Con miliardi di account compromessi in giro per il web diventa sempre più difficile assicurarsi che i propri account siano al sicuro. E, proprio per questo motivo e in occasione del Safer Internet Day, Google ha rilasciato una nuova estensione specifica per il browser Chrome che controlla, in maniera automatica e sicura, le credenziali utilizzate sui siti web verificandone la presenza all'interno dei database trapelati online in questi anni.

L'estensione di Google è chiamata Password Checkup, ed è già disponibile al download sin da subito. L'obiettivo finale è controllare la sicurezza di qualsiasi password inserita nel browser, sia essa inserita manualmente, sia immagazzinata nel gestore interno, e informare l'utente se ci sono analogie con le voci presenti nel database (protetto da crittografia) di Google che contiene miliardi di account compromessi. Il protocollo usato dall'estensione è stato presentato come standard per il controllo in sicurezza delle credenziali degli account, e l'interfaccia potrebbe essere offerta a terzi per espanderne la diffusione per il numero più elevato possibile di utenti.


Clicca per ingrandire

Stiamo parlando ovviamente di un'operazione delicata e che riguarda dati estremamente sensibili. Il team di sicurezza di Google offre già da tempo il controllo delle password, ma fino ad oggi si è limitato a farlo solo per gli utenti G Suite. Fare lo stesso per le credenziali utilizzate su tutti i restanti servizi del web è ovviamente un discorso totalmente diverso, un argomento in cui l'aspetto della privacy diventa oltremodo più delicato da ambo le parti. Se da una parte ci sono gli utenti che ovviamente non vogliono offrire in chiaro le loro password a Google, dall'altra la stessa Google dispone di un database di account compromessi che non vuole condividere pubblicamente.

Proprio per risolvere il problema sul nascere Password Checkup utilizza diverse procedure che rendono anonimi i dati trattati, oltre alla crittografia necessaria per proteggere qualsiasi fase dello scambio dei dati fra browser e servizi di sicurezza di Big G. L'estensione adotta inoltre una tecnica chiamata "blinding" per creare un indice di ricerca segreto con il quale confrontare le informazioni scambiate, e le credenziali sono rese anonime da una funzione hash Argon2, che crea una chiave di ricerca per il database di Google che viene protetta con crittografia ellittica.

Kurt Thomas di Google ha sottolineato che "dalla parte dell'utente si ottiene un indice che solo l'utente stesso può conoscere", un indice che viene gestito in formato "hash" e con una codifica solo parziale dell'informazione in modo da non poter essere utilizzato in alcun modo per ricreare una versione completa delle credenziali di accesso. Il database utilizzato da Google contiene dati raccolti dai dump delle password che sono finiti online o nei mercati underground, e attualmente consiste in un ammontare di 4 miliardi di credenziali compromesse in costante aggiornamento. E anche la stessa destinazione d'uso del database sembra essere in aggiornamento.

La compagnia ha infatti dichiarato che sta sviluppando nuove possibilità d'uso e che è aperta a suggerimenti sul modo in cui il database potrebbe essere sfruttato. Lo stesso potrebbe rivelarsi una risorsa di grande valore per le compagnie di sicurezza e di ricerca minacce, al fine di individuare tracce di account critici già compromessi su servizi di terze parti. Al momento, però, la compagnia intende dare al popolo di internet uno strumento utile e semplice da usare - oltre che del tutto trasparente nel funzionamento - per capire se sia arrivata l'ora di cambiare password o, addirittura, rivoluzionare profondamente la strategia utilizzata nell'uso delle credenziali online.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Dumah Brazorf06 Febbraio 2019, 17:42 #1
Quindi in pratica si prende le mie password e se le gira qua e la come gli pare.
Per controllarle eh.
GaryMitchell07 Febbraio 2019, 08:07 #2
Chi controlla il controllore?
davide311207 Febbraio 2019, 13:23 #3
phishing legalizzato?...
emiliano8407 Febbraio 2019, 14:42 #4
furbi ... no grazie (e tanto non uso chrome)
Erotavlas_turbo08 Febbraio 2019, 09:41 #5
Molto meglio firefox monitor che utilizza come database il sito Web. Questo utilizza un database gestito da google?!
Dal punto di vista di rispetto della privacy non ci sono paragoni tra mozilla e google.
Purtroppo il secondo vive dei nostri dati.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^