Ismét csiszolt a Google a böngészője biztonsági szolgáltatásain. A 79-es verziótól kezdődően minden olyan weboldalon figyelmeztet a kompromittálódott jelszavakra, ahol bejelentkezési adatokat kell megadnunk – jelentette be a vállalat. A technológiát már az év elején bevezette a Google, de akkor még csak a Password Checkup nevű böngészőkiegészítővel lehetett elérni.

Októberben az addig önálló szolgáltatást beépítették a Google Fiók jelszókezelő részébe, ahol a mentett jelszavakat ellenőrizte, és javaslatokat is tett az esetleges problémák megelőzésére. A jelszavak kompromittálódása mellett kiszűrte például az újrahasznosított (ugyanazt a jelszót használjuk több webhelyen) és a gyenge jelszavakat, és javaslatot tett a javításra.

Minden webhelyen, minden bejelentkezésre

A Chrome 79-es kiadásától kezdve a szolgáltatás automatikusan működik minden online bejelentkezési felületen, függetlenül attól, hogy az adott bejelentkezési adatokat a felhasználó mentette vagy sem a jelszókezelőben.

A böngészőbe integrált megoldás ugyanúgy működik, mint a Password Checkup. Figyel minden webes bejelentkezést. A megadott bejelentkezési adatokat összeveti azokkal az ismert felhasználónév-jelszó párosokkal, melyek valamilyen, a Google által ismert adatvédelmi incidensben megsérülhettek. Ha egyezést talál, azonnal riasztást küld, és javasolja a jelszó módosítását.

A Google erre kidolgozott egy olyan titkosítási technikát is, amely garantálja az adatok anonimitását, titkosítását és ellenőrizhetőségét. Amikor a felhasználó megadja egy webhelyen a felhasználónevét és a jelszavát, abból a Chrome képez egy olyan hasht, amelyből nem lehet visszafejteni az adatokat. Ezt elküldi a Google-nek, ahol az ellenőrző rendszer összeveti egy több mint 4 milliárd kompromittálódott bejelentkezési adatot, illetve azok hashelt változatát tartalmazó adatbázissal. Ha a rendszer bizonyos fokú azonosságot talál a hashek között, riaszt, és javasolja a jelszó módosítását.

Megerősítették az adathalászat elleni védelmet is

A böngésző 79-es kiadása az adathalászat elleni védelmen is javít. Ez a módszer sem új. Egy feketelistán alapul, amely a nem biztonságos webhelyeket tartalmazza, és amellyel a Chrome ellenőrzi címsorban megadott URL-t.

A böngésző nem az egész URL-t küldi el a Google-nek. Amikor a felhasználó megadja az URL-t, abból a Chrome egy szabványos SHA-256 hasht képez, aminek első 32 bitjét elküldi a Google rendszerének, amely összeveti azt a feketelistán található URL-ekkel. Azért csak az első 32 bit kerül a Google-höz, mert ez garantálja azt, hogy ne lehessen beazonosítani a visszafejteni a tényleges URL-t.

Továbbra is probléma maradt azonban, hogy a feketelista csak 30 percenként frissül, így a félórás időablakban sok frissen létrehozott adathalász webhely át tudott csúszni. Ezért a védelmet valós idejűvé tették.

Ez annyiban más, mint az eredeti technika, hogy fehérlista alapján dolgozik. Azaz azt nézi, hogy szerepel-e az URL a biztonságos weboldalak listáján. Ha nem, akkor a weboldalt megvizsgálva riaszt, ha ott adathalász tevékenységre utaló jelet fedez fel. A Google saját elemzései szerint így 30 százalékkal sikerült növelni a védelem hatékonyságát.

Ezt a funkciót első körben azoknak a felhasználóknak teszik elérhetővé, akik engedélyeztek A keresések és a böngészés javítása beállítást, amely elvileg anonim módon gyűjt adatokat a szolgáltatások fejlesztéséhez.