Getty Images
Google добавляет в Android собственную функцию проверки пароля, что делает мобильную операционную систему последней компанией, предлагающей пользователям простой способ проверить, были ли взломаны используемые ими пароли.
Проверка пароля работает, проверяя учетные данные, введенные в приложения, по списку из миллиардов учетных данных, скомпрометированных в результате бесчисленных взломов веб-сайтов, произошедших в последние годы. Если есть совпадение, пользователи получают предупреждение вместе с подсказкой, которая может перенаправить их в Google. Страница менеджера паролей, Что дает возможность проверить безопасность всех сохраненных учетных данных.
Оповещения выглядят так:
Google предоставил проверку пароля Начало 2019, В виде расширения Chrome. В октябре того же года функция попала в Диспетчер паролей Google, Панель инструментов для проверки веб-паролей, сохраненных в Chrome и синхронизированных с учетной записью Google. Два месяца спустя компания Добавьте в Chrome.
Диспетчер паролей Google позволяет пользователям напрямую посещать веб-сайты с неверными паролями, нажимая кнопку «Изменить пароль», отображаемую рядом с каждым взломанным или ненадежным паролем. К диспетчеру паролей можно получить доступ из любого браузера, но он работает только тогда, когда пользователи синхронизируют учетные данные, используя пароль своей учетной записи Google, а не дополнительный автономный пароль.
Новая проверка пароля была доступна со вторника на Android 9 и более поздних версиях Автозаполнение с Android, Функция, которая автоматически добавляет пароли, адреса, платежные реквизиты и другую информацию, которая обычно вводится в веб-формы и формы приложений.
Платформа автозаполнения Android использует расширенное шифрование, чтобы гарантировать, что пароли и другая информация доступны только авторизованным пользователям. Google имеет доступ к учетным данным пользователя только тогда, когда пользователи 1) уже сохранили учетные данные в своей учетной записи Google и 2) новые учетные данные были сохранены ОС Android и решили сохранить их в своей учетной записи.
Когда пользователь взаимодействует с паролем, заполнив его в форме или сохранив его впервые, Google использует то же шифрование, которое запускает проверку конфиденциальности Chrome, чтобы проверить, входят ли учетные данные в список известных взломанных паролей. Интерфейс веб-приложения отправляет только хешированные пароли с помощью функции Argon2 для генерации зашифрованного ключа поиска с использованием шифрования Elliptic Curve.
в Последнее сообщение во вторник, Google сказал, что реализация обеспечивает следующее:
- Устройство оставляет только зашифрованный хэш учетных данных (первые два байта хеша отправляются незашифрованными для разделения базы данных)
- Сервер отображает список зашифрованных хэшей известных скомпрометированных учетных данных с одинаковым префиксом.
- Фактическое определение заключается в том, были ли учетные данные скомпрометированы локально на машине пользователя.
- Сервер (Google) не имеет доступа к незашифрованному хешу пароля пользователя, а клиент (пользователь) не имеет доступа к незашифрованному хеш-списку потенциально скомпрометированных учетных данных.
Google Книги подробнее о том, как работает реализация Здесь.
На большинстве Android-устройств автозаполнение можно включить:
- Открыть настройки
- Нажмите Система> Языки и ввод> Дополнительно.
- Нажатие на сервис автозаполнения
- Нажмите на Google, чтобы убедиться, что настройка включена.
Отдельно Google во вторник напомнил пользователям о двух других функциях безопасности, которые были добавлены в автозаполнение Android в сентябре прошлого года. Первый — это генератор паролей, который автоматически выбирает надежный и уникальный пароль и сохраняет его в учетных записях пользователей Google. Доступ к генератору можно получить, нажав и удерживая поле пароля и выбрав Автозаполнение во всплывающем меню.
Пользователи также могут настроить автозаполнение Android для требования биометрической аутентификации перед добавлением учетных данных или платежной информации в приложение или веб-поле. Биометрическую аутентификацию можно включить в Автозаполнении в Настройках Google.