Google heeft zojuist een nieuwe Chrome-browserextensie uitgerold die u waarschuwt als een gebruikersnaam-wachtwoordcombinatie is gecompromitteerd bij een datalek.
Met de naam Password Checkup, is de extensie nu beschikbaar, hoewel Google waarschuwt dat er nog aan gewerkt wordt. Password Checkup vergelijkt de inloggegevens die u op een website invoert met een database van vier miljard bekende gecompromitteerde inloggegevenssets en laat u weten of uw gebruikersnaam-wachtwoordcombinatie niet langer goed is.
Dus als u zich aanmeldt bij Acme.com met de gebruikersnaam "[email protected]" en het wachtwoord "BeepBeep", zal Password Checkup een versleutelde versie van die inloggegevens naar de database sturen.
Als de combinatie [email protected]/BeepBeep tot de vier miljard gehackte inloggegevens behoort, krijgt u een grote rode waarschuwing dat "uw wachtwoord voor www.acme.com niet langer veilig is vanwege een datalek", en dat u uw wachtwoord moet wijzigen. Zo niet, dan weet je zeker dat alles goed is.
MEER: Beste wachtwoordmanagers
Google vertelde Lily Hay Newman van Wired dat de database niet dezelfde is als de Have I Been Pwned-database van zes miljard gecompromitteerde referentiesets die wordt onderhouden door de Australische beveiligingsonderzoeker Troy Hunt. Toch is er zeker enige overlap tussen de twee.
Er is nog een groot verschil: met Have I Been Pwned kun je zelf wachtwoorden en e-mailadressen zelf controleren, maar nooit beide tegelijk. Hunt wil namelijk niet dat Have I Been Pwned door identiteitsdieven wordt gebruikt om te controleren of een bepaalde combinatie van e-mailadres/wachtwoord geldig is.
Anders zou iedereen Have I Been Pwned met brute kracht kunnen gebruiken door bijvoorbeeld de 1.000 meest gebruikte wachtwoorden te vergelijken met een lijst met bekende of gegenereerde e-mailadressen.
De wachtwoordcontrole van Google controleert beide inloggegevens tegelijkertijd, waardoor we ons een beetje zorgen maken dat de browserextensie onveilige inloggegevens nog minder veilig maakt. (Het zou prima moeten zijn om het te gebruiken om uw eigen wachtwoorden te controleren.)
Een officiële Google-blogpost zegt dat het bedrijf "Wachtwoordcontrole heeft ontworpen om te voorkomen dat een aanvaller de wachtwoordcontrole misbruikt om onveilige gebruikersnamen en wachtwoorden te onthullen".
We hebben nog niet de kans gehad om Wachtwoordcontrole uit te voeren om te zien of die beveiligingen tegen brute forceren werken. Maar iemand anders zal dat zeker doen.
Dit bericht verscheen oorspronkelijk op Tom's Guide.
- De beste laptops voor bedrijven en productiviteit