Xakep #305. Многошаговые SQL-инъекции
5 февраля, во Всемирный день безопасного интернета, разработчики Google представили расширение Password Checkup для браузера Chrome, созданное совместно со специалистами из Стэнфордского университета. Основная задача расширения: проверять, подвергались ли учтенные данные пользователя компрометации.
Расширение срабатывает каждый раз, когда пользователь выполняет вход в какой-либо онлайновый сервис. Password Checkup проверит введенные логин и пароль (не важно, были те введены вручную или с помощью менеджера паролей), поискав совпадения в защищенной базе, содержащей более четырех миллиардов учетных данных. Эту базу инженеры Google собирали несколько лет, и она основывается на информации о множестве публичных утечек данных последнего времени.
Если пользовательские учетные данные будут обнаружены в базе, расширение предупредит владельца браузера о потенциальной небезопасности и порекомендует сменить их. При этом специалисты подчеркивают, что все необходимые нормы приватности и безопасности были соблюдены, то есть фактические логины и пароли пользователей «не видны» ни самим сотрудникам Google, ни злоумышленникам.
Также отмечается, что проверку проходят не логин и пароль порознь, но именно комбинация конкретных четных данных. То есть даже пользователь с паролем «123456» не получит предупреждение, если при этом его username не фигурирует в базе Google. По словам разработчиков, они не хотят перегружать пользователей постоянными предупреждениями, на которые люди, в итоге, попросту перестанут обращать внимание.
Напомню, что в конце прошлого года в браузере Firefox появился похожий инструмент, Firefox Monitor, разработанный в содружестве с агрегатором утечек Have I Been Pwned, который создал известный ИБ-специалист Трой Хант (Troy Hunt). Данный сервис тоже позволяет проверить email-адрес и связанные с ним аккаунты на предмет возможной компрометации.
При этом Firefox Monitor и Password Checkup имеют немало различий. Так, продукт разработчиков Mozilla показывает предупреждение пользователю лишь однажды, когда тот заходит на ранее пострадавший от компрометации сайт, и вежливо рекомендует поменять пароль. В свою очередь, Password Checkup демонстрирует упреждающее поведение и работает непосредственно с учетными данными, которые пользователь вводит в соответствующие поля на сайте. Также, как уже было сказано выше, Firefox Monitor опирается на базу HIBP, а Password Checkup на внутреннюю базу Google.