— Самое ужасное, что мы изобрели в интернете, — это, безусловно, пароли — говорит «главный по паролям» в Google господин Марк Ришер. И продолжает:
— Кодовые слова — основная причина, по которой пользователи оказываются во власти злоумышленников.
Учитывая тот немаловажный факт, что Ришер непосредственно отвечает как раз за безопасность пользователей Google, эти слова получают особенный вес. И свою долю скептицизма от юзеров.
—Собственно, а что вы предлагаете? Каждый раз делать анализ ДНК, перед тем как войти на Gmail? — вполне резонно спрашивают они.
Но давайте по-порядку. Google давно и старательно пытается изменить практику пользования сайтами и сервисами в интернете. Недовольство Ришера вполне можно понять, если просто взглянуть на статистику. И очень быстро становится ясно, что большинство из людей, шатающихся по сети, далеко не так умны, как могут показаться. Да, мы уже давно можем и умеем работать с различными менеджерами паролей. Однако, в 2019 году ребята из Google выяснили, что 52% процента из нас используют один и тот же пароль для нескольких аккаунтов, а 13% самых «мудрых» придумали единственный пароль для всех акков «чтобы не забыть». Microsoft также провел свое исследование. Оказалось, что 44 млн. людей до сих пор используют для входа кодовые слова, которые давно «утекли» вместе с различными базами на хакерский рынок.
— Неважно, насколько хитро закручен ваш пароль, из каких символов он состоит, но если он уже уплыл вместе с базой паролей сайта или сервиса, то шанс, что его постараются использовать, чтобы подобраться к другим вашим аккаунтам, очень велика. А вероятность быть взломанным для оказавшегося в такой ситуации пользователя увеличивается на 10%. — отмечает Курт Томас, один из основных игроков в команде «защитников» Google, которая стремится сделать работу с сервисами компании максимально безопасными.
Не все инструменты, созданные Google, были одобрены экспертами по безопасности. Скажем, ко встроенному в Google Accounts менеджеру паролей и автозаполнению для Chrome и Android OS есть довольно серьезные вопросы. Но одна из последних фичей под названием Password Checkup пока что вызывает только положительные эмоции. Этот инструмент автоматически и без всякой суеты, что называется, в фоне, анализирует логин и пароль пользователя, а потом сопоставляет с базой украденных кодовых слов, количество которых на сегодняшний день равняется примерно 4 миллиардам. Password Checkup появился сначала как расширение для браузера Chrome в 2019 году, а затем в октябре того же года стал частью Google Accounts.
Вы, наверное, скажете
— Одну секундочку! То есть это как — Google использует и запоминает наши пары логин — пароль и отправляет куда-то для проверки, сопоставляя с некой базой? А кто нам даст гарантии, что пары не будут перехвачены по пути? Или что сама Google «случайно» не оставит себе копию пароля, так, на всякий случай?
Вполне резонные вопросы, на которые у Google уже есть свои ответы. И вот что говорят «защитники Google»
— Каждый пароль и логин пользователя перед анализом и сопоставлением с базой украденных слов хешируется и шифруется. База скомпрометированных логинов и паролей хранится также в зашифрованном и зашифрованном виде. В случае, если есть совпадение между данными, Google Checkup в автоматическом режиме стучится к пользователю и настойчиво рекомендует ему изменить правила на вход для конкретного сервиса или сайта.
Google особенно отмечает тот факт, что данные о похищенных паролях компания получает через своих «доверенных помощников» из «дружественных ресурсов»
— Позиция нашей компании состоит в том, чтобы никогда не платить криминальным элементам и шантажистам за информацию об украденных данных— объясняет Курт Томас.
Нужно сказать, что идея периодической проверки пользователем своего пароля присутствует и у других сервисов. Так, например, платный 1Password рекомендует сменить старый или слабый пароль, а также предлагает услуги Watchtower — сервиса, который готов сравнить защиту пользователя с базой уведенных паролей Troy Hunt Have I Been Pwned, само название которой много скажет опытным пользователям интернета, особенно геймерам. А не далее как позавчера мы узнали, что и Apple оснащает похожей функцией свой Safari и таким образом присоединяется к мировому мониторингу паролей в сети.
