Kan du stole på en ny Google Chrome-utvidelse som hjelper deg å velge et godt passord?
Kan en ydmyk nettleserutvidelse fortelle deg om passordet ditt er sterkt nok eller ikke? Før vi svarer på dette spørsmålet, må vi åpenbart forklare hva et sterkt passord er.
Den klassiske definisjonen sier at et sterkt passord må være et tilfeldig utvalg av store og små bokstaver, tall og spesialtegn. I de senere år har eksperter antydet at en lang passordfrase kan være like god til å beskytte dataene dine. Det er litt av en debatt rundt hvorvidt passord bør endres ofte eller ikke, men omtrent alle er enige om at uansett alder, lengde og kompleksitet, bør et passord aldri brukes på mer enn ett nettsted eller plattform. Det er imidlertid en faktor til som kan gjøre at enda et relativt nytt, ekstremt vanskelig å gjette passord helt ubrukelig når det gjelder å beskytte kontoen din. Og det virker som om ganske mange mennesker overser det.
Som du sikkert vet, når nettkriminelle stjeler data, holder de ikke alltid det for seg selv. Crooks deler terabyte på terabyte med kompromitterte brukernavn og passord hver dag. Og til tross for hva noen mennesker vil tro at du trenger, trenger du ikke nødvendigvis å gå til den såkalte mørke weben for å få all denne informasjonen. Ofte er det så enkelt å laste ned de enorme datadumpene som å besøke et offentlig tilgjengelig internettforum eller laste ned en torrent-fil. Med andre ord, mange mennesker kan ha tilgang til det kompromitterte passordet ditt, og en nyere serie med legitimasjonsstoppningsangrep viser at de ikke er redd for å bruke det.
En Google Chrome-utvidelse kan se om passordet ditt har blitt kompromittert
Google ønsker å hjelpe deg med å beskytte deg selv. Gjennom årene har søkemotorgigantens sikkerhetsteam samlet inn rundt fire milliarder kombinasjoner av brukernavn og passord lekket i hendelser med brudd på data. En ny Chrome-utvidelse kalt Password Checkup kan bruke den informasjonen til å hjelpe deg med valg av passord.
Hver gang du skriver inn brukernavn og passord, vil tilleggsprogrammet sjekke legitimasjonsbeskrivelsen mot Googles database, og hvis den finner ut at de har blitt lekket i det siste, vil det vise en advarsel og fortelle deg at du er bedre å velge et annet passord. Ideen er at den vil fungere på alle nettsteder, og den vil avbryte varsler bare hvis den mener at både brukernavnet og passordet har blitt brutt.
De av dere som følger datasikkerhetsnyheter nærmere, vet at dette ikke er den første tjenesten av denne typen. Den australske sikkerhetseksperten Troy Hunt opprettet sin Have I Been Pwned- plattform for mange år siden, og i 2017 lanserte han også tjenesten Pwned Passwords som lar deg sjekke passordet ditt mot en samling på omtrent en halv milliard kompromitterte passord.
Selvfølgelig er Googles samling betydelig større, noe som betyr at hvis legitimasjonen din er blitt kompromittert, er det mer sannsynlig at de er til stede i søkemotorgigantens database enn i Troy Hunt. Men betyr dette at du bør laste ned Googles utvidelse av passordkontroll umiddelbart?
Kan du stole på Googles nye utvidelse?
Både Troy Hunt og Google har lansert disse tjenestene fordi US 'National Institute for Standards and Technology (NIST) regner med at brukere kan dra nytte av dem. For et par år siden gjenoppsøkte NIST retningslinjene for passord og fortalte programvareleverandører og tjenesteleverandører at det er god praksis å sjekke brukernes passord mot samlinger av brutt data og advare dem når det er en match. Før det kan fortelle deg om passordet ditt har blitt kompromittert eller ikke, må Googles nye utvidelse imidlertid analysere det, noe som tydeligvis gjør noen mennesker ganske ukomfortable.
Å tenke to ganger før du gir passordet ditt til noen er alltid en god samtale. Google har, som de fleste av Silicon Valley-selskapene hvis forretningsmodell dreier seg om data, fått sin del av kritikk for sin holdning til brukernes personvern. Det er imidlertid rettferdig å si at søkemotorens skjegg sannsynligvis ikke risikerer at noe går galt med folks passord.
I likhet med Troy Hunt bruker Google hashing og kryptering for å sikre at den aldri ser passordet i ren tekst. I følge blogginnlegget som introduserer utvidelsen, utføres sjekken lokalt, og passordet ditt blir ikke sendt til Google i noen form eller form.
Til syvende og sist bestemmer alle for seg selv om de vil bruke Password Checkup eller ikke. Det er sannsynligvis grunnen til at Google bestemte seg for å tilby det som addon i stedet for å legge det rett inn i nettleseren. Du kan gjøre det verre enn å tenke på det.
