Расширение Password Checkup сверяет пароли с базой из 4 млрд скомпрометированных аккаунтов

Недавно хакеры выложили в открытый доступ коллекции №1-5 ^[1] — в общей сложности около 2,7 млрд аккаунтов с паролями (magnet-ссылки: коллекция № 1 ^[2], коллекции № 2-5 ^[3]). Эти пароли многие годы собирались из всех доступных источников, в том числе с российских сайтов. Каждый может проверить наличие своего пароля в базе, введя его хэш на сайте Have I Been Pwned ^[4] (HIBP) или в сервисе Firefox Monitor ^[5]. Теперь появился ещё один способ сделать это — через новое расширение Password Checkup ^[6] для Chrome.

Password Checkup проверяет аутентичность пароля на любом сайте. Если пользователь где-то вводит скомпрометированные учётные данные, расширение сигнализирует об этом.

Как и Firefox Monitor, расширение отправляет на сервер для проверки не сам пароль, а его хэш. См. подробное описание криптографической схемы ^[7], которая в схематически изображена на иллюстрации ниже.

Google утверждает ^[8], что сверка проводится по базе из 4 млрд аккаунтов. Это больше, чем есть в базе HIBP: возможно, компания владеет базами паролей, которые ещё не попали в открытый доступ.

Google отмечает, что на её сайтах пользователи защищаются от утечек автоматически. Компания постоянно сканирует хакерские базы. Если пароль для Google Account замечен в какой-нибудь из утечек, то он автоматически деактивируется. Такая мера уже позволила в десять раз ^[9] уменьшить угоны аккаунтов Google.

Автор: alizar

Источник ^[10]