Xakep #305. Многошаговые SQL-инъекции
Весной текущего года разработчики Google представили расширение Password Checkup для браузера Chrome, созданное совместно со специалистами из Стэнфордского университета. Основная задача расширения: проверять, подвергались ли учтенные данные пользователя компрометации.
Расширение срабатывает каждый раз, когда пользователь выполняет вход в какой-либо онлайновый сервис. Password Checkup проверяет введенные логин и пароль (не важно, были те введены вручную или с помощью менеджера паролей), поискав совпадения в защищенной базе, содержащей более четырех миллиардов учетных данных. Если пользовательские учетные данные будут обнаружены в базе, расширение предупреждает владельца браузера о потенциальной небезопасности и рекомендует сменить их.
Теперь инженеры Google опубликовали анонимную статистику, собранную Password Checkup в период с 5 февраля по 4 марта 2019 года.
Как оказалось, лишь в 1,5% случаев из 21 177 237 зафиксированных входов в систему пользователей предупредили о компрометации в результате различных утечек данных. То есть небезопасным был признан 316 531 логин для примерно 670 000 пользователей, на тот момент установивших расширение Password Checkup.
Интересно, что из всех пользователей, предупрежденных о проблемах с учетными данными, только 26% решили поменять небезопасные пароли. Примерно в 60% случаев смена пароля прошла успешно, то есть пользователи выбрали более безопасные варианты, чем изначальные. Также по меньшей мере 94% паролей оказались столь же надежными, как и пароли исходные (то есть хуже не стало).
Чаще всего проблемы с учетными данными обнаруживались на сайтах для взрослых и развлекательных ресурсах, например, стриминговых сервисах. Так, на порносайты пришлось 3,6% всех предупреждений, а на развлекательные сайты — 6,3%.
При этом исследователи признают, что реальные цифры могут выглядеть более печально. Дело в том, что пока не так много пользователей в целом установили Password Checkup, к тому же у неактивных учетных записей более высокий уровень повторного использования, но проверять такие аккаунты расширение по понятым причинам не может.