Le ultime settimane sono state abbastanza preoccupanti per gli utenti della rete, i quali hanno subito la violazione delle loro credenziali di accesso di conti online e account di servizi, per un totale di ben 773 milioni di combinazioni di email e password.
Il primo a riportare la questione al grande pubblico è stato Troy Hunt, ricercatore specializzato in sicurezza informatica che gestisce Have I Been Pwned, il portale web con il quale è possibile verificare se il vostro indirizzo email è stato rubato.
Nonostante ciò, negli ultimi giorni il web è stato letteralmente invaso da consigli e metodi per cercare di rendere ulteriormente al sicuro i propri dati di accesso.
Tra questi c’è anche Password Checkup, un’estensione per Google Chrome tanto semplice nel suo utilizzo quanto efficace nel rilevare quando una combinazione di username/password, inserita dall’utente su qualsiasi sito web, è poco sicura poiché oggetto di violazione.
Non si tratta del classico gestore di password pronto ad indicare se il testo digitato è debole o forte, ma di una funzionalità attiva per tutto il tempo della navigazione e che verifica le credenziali con un database aggiornato di dati compromessi e quindi esposti a rischi.
Password Checkup mostrerà un avviso a video che consiglierà all’utente di modificare i dati di accesso dell’account in questione e di procedere con la modifica in tutti gli eventuali profili online in cui si utilizza la stessa combinazione.
Ma come funziona esattamente? Google confronta i dati con un proprio database, aggiornato costantemente da un team dedicato, al momento composto da oltre 4 miliardi di credenziali. La società afferma di essere già riuscita a proteggere 110 milioni di account negli ultimi due anni informando gli utenti su possibili violazioni.
Password Checkup è progettato per informare l’utente solo quando si verifica un rischio reale e le credenziali risultano realmente compromesse, non ci sarà dunque nessun avviso se si utilizza una password debole oppure obsoleta come ad esempio “123456”.
L’estensione rimane attiva durante la navigazione in background, e non controllerà altri dati dell’utente durante la digitazione assicura Google. In questo modo non sarà possibile conservare alcun dato che possa identificare un determinato profilo, spiega la società sul suo blog.
È sicura per la privacy? Password Checkup è stato progettato in collaborazione con esperti di crittografia della Stanford University per garantire che Google non impari mai il nome utente o la password e che i dati sulle violazioni siano al sicuro da un’esposizione più ampia, afferma la società.
Nello specifico per tutelare gli utenti l’estensione genera un hash, quindi una versione codificata con il sistema crittografico Argon2 del nome utente e password, protetto da una chiave univoca locale. Google riceverà solo una parte di tale codice (un prefisso di 2 Byte) da cui genererà un sottoinsieme di dati basati proprio su quel prefisso. Nell’ultimo passaggio le informazioni saranno inviate al dispositivo dell’utente, qui verranno decrittate e sarà effettuata una ricerca in locale per evidenziale eventuali corrispondenze (come spiegato qui).
In questo modo diventa difficile forzare la ricerca e reperire informazioni. Google conclude con: “poiché si tratta di una prima versione, continueremo a perfezionare Password Checkup nei prossimi mesi, incluse compatibilità e modalità di rilevamento del nome utente e della password”.
Discussione su post