‘Password Checkup’ จาก Google ช่วยเตือนผู้ใช้ให้เปลี่ยนรหัสผ่านหากเคยรั่วไปแล้ว

Password Checkup คือ Extension ใหม่จาก Google ที่จะช่วยค้นหาว่า Credentials ที่กำลังใช้งานอยู่เคยรั่วไหลไปแล้วหรือยัง จากนั้นก็จะแจ้งให้ผู้ใช้งานเปลี่ยนรหัสผ่านซึ่งผู้ให้บริการ Search Engine รายใหญ่มีฐานข้อมูล Credentials ที่เคยรั่วไหลมาก่อนหน้านี้กว่า 4 พันล้านมาเทียบกัน

สำหรับใครที่กังวลเรื่องของความมั่นคงปลอดภัยว่า Google จะเห็นรหัสของเราไหมจะส่งไปยังไง บอกได้เลยว่าทาง Google ไม่ได้ส่งข้อมูลของเราไปตรงๆ แน่นอนเพราะมีการออกแบบวิธีการร่วมกับนักวิจัยด้านการเข้ารหัสจาก Standford เพื่อให้มั่นใจได้ว่าพนักงานของ Google เองก็ไม่มีทางได้เห็นข้อมูลรายละเอียดของผู้ใช้งานที่ส่งออกไป โดยรายละเอียดคร่าวๆ ก็คือได้เอาค่า Hash ของข้อมูลที่รั่วไหลและ Hash ข้อมูลผู้ใช้งานมาเทียบกันไม่ได้เทียบตรงๆ นอกจากนี้จะใช้เทคนิค Blinding ด้วย K-anonymity ทำให้ Extension ทำงานได้โดยไม่ต้องเห็นข้อมูลจริงๆ (ดูภาพประกอบด้านบน)

ความแตกต่างของ Google และ Firefox

ก่อนหน้าที่ Firefox เองก็ได้มี Extension แบบนี้ออกมาเมื่อปีที่แล้วแต่มีความแตกต่างกันดังนี้

• Firefox ใช้ฐานข้อมูลจาก Have I been Pwned ส่วน Google มีฐานข้อมูล Credentials ในเหตุการณ์รั่วไหลของตัวเอง
• การแจ้งเตือนของ Firefox จะเกิดขึ้นเมื่อผู้ใช้เข้าเว็บไซต์ที่เคยเกิดมีเหตุการณ์รั่วไหลย้อนหลังไปไม่เกิน 1 ปีและยังแจ้งเตือนผู้ใช้ให้เปลี่ยนรหัสผ่านแค่ครั้งเดียว ในขณะที่ Google จะเช็คตอนที่กรอกชื่อผู้ใช้และรหัสผ่านเข้าไปยังฟอร์มล็อกอิน

อย่างไรก็ตาม Password Checkup จะตรวจสอบการผสมผสานทั้งชื่อผู้ใช้และรหัสผ่านเพื่อหลีกเลี่ยงการแจ้งเตือนบ่อยเกิดความจำเป็น อีกทั้งยังใช้ได้แค่กับบัญชี Google เท่านั้น ผู้สนใจสามารถติดตามเพิ่มเติมได้ที่ Google Online Security

ที่มา : https://www.bleepingcomputer.com/news/security/google-launches-password-checkup-extension-to-alert-users-of-data-breaches/ และ https://www.zdnet.com/article/google-releases-chrome-extension-to-check-for-leaked-usernames-and-passwords/