Che palle, un altro articolo sulla sicurezza delle proprie password? Sì, o almeno in parte. Ti porto indietro nel tempo, neanche tanto, a quando ho scritto e pubblicato l’articolo riguardante Firefox Monitor, il servizio di Mozilla che andrà ad aiutare gli utenti che hanno subito un furto password avvertendoli in maniera molto chiara e invitandoli a cambiare quella password probabilmente rubata (Firefox Nightly: nuova integrazione con Firefox Monitor, blocco CryptoMining e Fingerprint). Parlando del browser di Mozilla non ti avevo dato un’informazione completa, non avevo effettivamente pensato alla più comune alternativa costituita da Chrome.
Ecco, Google ha pubblicato un’apposita estensione – Password Checkup – che in pratica serve lo stesso identico scopo. Non è certo una novità, su Ars Technica se ne parlava agli inizi dello scorso mese, ma io con la quantità di cose da fare in una giornata di una comune settimana lavorativa non ci sto dentro come vorrei (avrei una marea di cose di cui parlarti e scriverti, ma non mi hanno ancora abilitato alle giornate fatte da 72 ore!).
Il componente aggiuntivo si scarica chiaramente dallo Store ufficiale di Google, per comodità ti lascio qui una scorciatoia:
Una volta installato si andrà a inserire nel solito posto in alto a destra tra i componenti aggiuntivi con icona visibile nella barra dell’URL e non farà null’altro che rimanere in ascolto fino a quando capiterai su un sito web che ha subito un furto di credenziali in cui anche la tua coppia di dati (username e password) è quasi certamente finita, invitandoti così al cambio immediato di quella password ormai vulnerabile.
Riguardo la capacità di ficcare il naso all’interno degli accessi, mi limito a copiare e incollare qui le informazioni in merito recuperate direttamente dagli articoli usciti il giorno della pubblicazione (e relative affermazioni di Google in merito):
The Chrome browser extension, called Password Checkup, is available today. It securely checks credentials used to log into websites—whether they’re manually entered or stored in Chrome’s password manager—against hashed credentials stored in an encrypted database of billions of compromised accounts maintained by Google.
[ …]
Checking for password breaches is a sensitive operation. Google’s security team has been offering password checks for G Suite users for some time, but doing the same thing for the rest of users’ credentials is a much more delicate privacy dance. Users don’t want to just hand over their passwords and accounts to Google openly, and “Google has a data set we don’t want to publicly share,” said Kurt Thomas, staff research scientist at Google. So Password Checkup uses a combination of anonymization and cryptography to protect the exchange, using a technique called “blinding” to create a secret search index. Credentials are anonymized with an Argon2 hash function to create a search key for Google’s database and encrypted with Elliptic Curve cryptography.
Riporto invece dalla pagina ufficiale dell’estensione sullo Store:
La funzionalità Password Checkup è stata sviluppata tenendo conto della privacy. Non segnala mai informazioni personali relative ad account, password o dispositivi. Segnaliamo informazioni anonime sul numero di ricerche che portano ad individuare credenziali non sicure, indipendentemente dalla presenza di un avviso che chiede la modifica della password e dalla richiesta di migliore copertura del sito da parte del dominio. Puoi conoscere ulteriori informazioni sul funzionamento di Password Checkup alla pagina https://support.google.com/accounts?p=password-checkup.
Di Password Checkup sembra esisterne anche un porting per Firefox ma, e occhio al MA, l’autore ha ben deciso di nascondersi dietro uno username che onestamente non comprendo e non giustifico. Io mi limito a riportarti qui le informazioni, il mio consiglio è quello di evitare di installare il componente aggiuntivo al momento, d’altronde Firefox Monitor andrà a colmare questa lacuna quanto prima e se dovessi riuscire ad avere un attimo di tempo sarà mia cura studiare il porting (il codice è sempre accessibile) e capire se realmente non fa nulla di male rispetto a quanto voluto da Google: addons.mozilla.org/en-US/firefox/addon/password-checkup-by-google-api.
Il componente aggiuntivo è sparito da AMO, immaginavo sarebbe successo.
Approfitto di questo articolo per invitarti caldamente, nel caso in cui tu debba cambiare una delle tue password, a evitare di usarne una tra tutte quelle peggiori del 2018, trovi qui un articolo in proposito: teamsid.com/100-worst-passwords (che integrerei con questo riferimento a Wikipedia: en.wikipedia.org/wiki/List_of_the_most_common_passwords).
Al solito, per qualsiasi ulteriore dubbio o suggerimento l’area commenti è a tua totale disposizione ?
Discussione disponibile anche su Reddit: reddit.com/r/google/comments/anf0vd/ars_technica_google_releases_chrome_extension
Correzioni, suggerimenti? Lascia un commento nell'apposita area qui di seguito o contattami privatamente.
Ti è piaciuto l'articolo? Offrimi un caffè! ☕ :-)
L'articolo potrebbe non essere aggiornato
Questo post è stato scritto più di 5 mesi fa, potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a lasciare un commento per chiedere ulteriori informazioni! :-)
