Kan du stole på en ny Google Chrome-udvidelse, der hjælper dig med at vælge en god adgangskode?

Google Password Checkup CHrome Extension

Kan en ydmyg browserudvidelse fortælle dig, om din adgangskode er stærk nok eller ej? Inden vi besvarer dette spørgsmål, er vi selvfølgelig nødt til at forklare, hvad en stærk adgangskode er.

Den klassiske definition angiver, at et stærkt kodeord skal være et tilfældigt valg af store og små bogstaver, tal og specialtegn. I de senere år har eksperter antydet, at en lang adgangssætning kan være lige så god til at beskytte dine data. Der er lidt af en debat om, hvorvidt adgangskoder bør ændres ofte, men næsten alle er enige om, at uanset alder, længde og kompleksitet, skal et kodeord aldrig genbruges på mere end et websted eller en platform. Der er dog endnu en faktor, der kan gøre endnu en relativt ny, ekstremt vanskelig at gætte adgangskode helt ubrugelig til at beskytte din konto. Og det ser ud til, at mange mennesker overser det.

Som du sandsynligvis ved, når cyberkriminelle stjæler data, holder de dem ikke altid for sig selv. Crooks deler terabytes på terabytes af kompromitterede brugernavne og adgangskoder hver dag. Og på trods af hvad nogle mennesker vil have dig til at tro, kræver det ikke nødvendigvis at gå til den såkaldte mørke web for at få alle disse oplysninger. Ofte er det at downloade de massive datadumps lige så let som at besøge et offentligt tilgængeligt internetforum eller downloade en torrentfil. Med andre ord, mange mennesker har muligvis adgang til dit kompromitterede kodeord, og en nylig række legitimationsudstoppningsangreb viser, at de ikke er bange for at bruge den.

En Google Chrome-udvidelse kan se, om din adgangskode er blevet kompromitteret

Google ønsker at hjælpe dig med at beskytte dig selv. I årenes løb har søgemaskigigantens sikkerhedsteam samlet omkring fire milliarder kombinationer af brugernavn og adgangskode lækket i dataovertrædelseshændelser. En ny Chrome-udvidelse kaldet Password Checkup kan bruge disse oplysninger til at hjælpe dig med dine valg af adgangskode.

Hver gang du indtaster dine brugernavne og adgangskoder, vil tilføjelsen kontrollere legitimationsoplysningerne mod Googles database, og hvis det finder ud af, at de er lækket i fortiden, viser det en advarsel og fortæller dig, at du er bedre til at vælge en anden adgangskode. Ideen er, at den fungerer på alle websteder, og den vil kun afbryde alarmer, hvis den mener, at både brugernavnet og adgangskoden er blevet brudt.

De af jer, der følger datasikkerhedsnyheder nærmere, ved, at dette ikke er den første service af denne art. Den australske sikkerhedsekspert Troy Hunt oprettede sin Have I Been Pwned- platform for mange år siden, og i 2017 lancerede han også tjenesten Pwned Passwords, som giver dig mulighed for at kontrollere dit kodeord mod en samling på omkring en halv milliard kompromitterede adgangskoder.

Naturligvis er Googles samling betydeligt større, hvilket betyder, at hvis dine legitimationsoplysninger er blevet kompromitteret, er det mere sandsynligt, at de er til stede i søgemaskigigantens database, end de er i Troy Hunt's. Men betyder det, at du skal downloade Googles forlængelse af adgangskode til kontrol med det samme?

Kan du stole på Googles nye udvidelse?

Både Troy Hunt og Google har lanceret disse tjenester, fordi det amerikanske National Institute for Standards and Technology (NIST) regner med, at brugerne kan drage fordel af dem. For et par år siden revideret NIST sine retningslinjer for adgangskode og fortalte softwareleverandører og tjenesteudbydere, at det er god praksis at kontrollere brugernes adgangskoder mod samling af overtrådte data og advare dem, når der er en match. Før det kan fortælle dig, om din adgangskode er blevet kompromitteret, skal Googles nye udvidelse imidlertid analysere den, hvilket naturligvis gør nogle mennesker ret ubehagelige.

At tænke to gange, før du giver din adgangskode til nogen, er altid et godt opkald. Google har som de fleste af Silicon Valley-virksomhederne, hvis forretningsmodel drejer sig om data, modtaget sin andel af kritik for sin holdning til brugernes privatliv. Det er dog rimeligt at sige, at søgemotorens modstand sandsynligvis ikke risikerer, at noget går galt med folks adgangskoder.

Ligesom Troy Hunt bruger Google hashing og kryptering for at sikre, at den aldrig ser adgangskoden i almindelig tekst. I henhold til blogindlægget, der introducerer udvidelsen, udføres kontrollen lokalt, og din adgangskode sendes ikke til Google i nogen form eller form.

I sidste ende bestemmer alle selv, om de vil bruge Password Checkup eller ej, hvilket sandsynligvis er grunden til, at Google besluttede at tilbyde det som et addon snarere end at integrere det direkte i browseren. Du kunne dog gøre det værre end at tænke over det.

December 18, 2019

Efterlad et Svar