Black Hat Asia 2021

‘Password Checkup’ จาก Google ช่วยเตือนผู้ใช้ให้เปลี่ยนรหัสผ่านหากเคยรั่วไปแล้ว

Password Checkup คือ Extension ใหม่จาก Google ที่จะช่วยค้นหาว่า Credentials ที่กำลังใช้งานอยู่เคยรั่วไหลไปแล้วหรือยัง จากนั้นก็จะแจ้งให้ผู้ใช้งานเปลี่ยนรหัสผ่านซึ่งผู้ให้บริการ Search Engine รายใหญ่มีฐานข้อมูล Credentials ที่เคยรั่วไหลมาก่อนหน้านี้กว่า 4 พันล้านมาเทียบกัน

สำหรับใครที่กังวลเรื่องของความมั่นคงปลอดภัยว่า Google จะเห็นรหัสของเราไหมจะส่งไปยังไง บอกได้เลยว่าทาง Google ไม่ได้ส่งข้อมูลของเราไปตรงๆ แน่นอนเพราะมีการออกแบบวิธีการร่วมกับนักวิจัยด้านการเข้ารหัสจาก Standford เพื่อให้มั่นใจได้ว่าพนักงานของ Google เองก็ไม่มีทางได้เห็นข้อมูลรายละเอียดของผู้ใช้งานที่ส่งออกไป โดยรายละเอียดคร่าวๆ ก็คือได้เอาค่า Hash ของข้อมูลที่รั่วไหลและ Hash ข้อมูลผู้ใช้งานมาเทียบกันไม่ได้เทียบตรงๆ นอกจากนี้จะใช้เทคนิค Blinding ด้วย K-anonymity ทำให้ Extension ทำงานได้โดยไม่ต้องเห็นข้อมูลจริงๆ (ดูภาพประกอบด้านบน)

ความแตกต่างของ Google และ Firefox

ก่อนหน้าที่ Firefox เองก็ได้มี Extension แบบนี้ออกมาเมื่อปีที่แล้วแต่มีความแตกต่างกันดังนี้

  • Firefox ใช้ฐานข้อมูลจาก Have I been Pwned ส่วน Google มีฐานข้อมูล Credentials ในเหตุการณ์รั่วไหลของตัวเอง
  • การแจ้งเตือนของ Firefox จะเกิดขึ้นเมื่อผู้ใช้เข้าเว็บไซต์ที่เคยเกิดมีเหตุการณ์รั่วไหลย้อนหลังไปไม่เกิน 1 ปีและยังแจ้งเตือนผู้ใช้ให้เปลี่ยนรหัสผ่านแค่ครั้งเดียว ในขณะที่ Google จะเช็คตอนที่กรอกชื่อผู้ใช้และรหัสผ่านเข้าไปยังฟอร์มล็อกอิน

อย่างไรก็ตาม Password Checkup จะตรวจสอบการผสมผสานทั้งชื่อผู้ใช้และรหัสผ่านเพื่อหลีกเลี่ยงการแจ้งเตือนบ่อยเกิดความจำเป็น อีกทั้งยังใช้ได้แค่กับบัญชี Google เท่านั้น ผู้สนใจสามารถติดตามเพิ่มเติมได้ที่ Google Online Security

ที่มา : https://www.bleepingcomputer.com/news/security/google-launches-password-checkup-extension-to-alert-users-of-data-breaches/ และ https://www.zdnet.com/article/google-releases-chrome-extension-to-check-for-leaked-usernames-and-passwords/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Gartner ออก Magic Quadrant ด้าน Endpoint Protection Platforms ประจำปี 2021

Gartner, Inc. บริษัทวิจัยและที่ปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน Magic Quarrant ทางด้าน Endpoint Protection Platforms ฉบับล่าสุดปี 2021 ผลปรากฏว่ามี Vendor ถึง …

Metro Systems Corporation ขอเชิญทุกท่านเข้าร่วมงานสัมมนาออนไลน์ “Microsoft Teams เป็นมากกว่า Online Meeting”

Metro Systems Corporation ขอเชิญผู้สนใจทุกท่านเข้าร่วมงานสัมมนาออนไลน์ในหัวข้อ “Microsoft Teams เป็นมากกว่า Online Meeting” เพื่อรู้จักกับการใช้งาน Microsoft Teams ในหลากหลายแง่มุมที่ทำให้การทำงานขององค์กรเป็นไปได้อบ่างมีประสิทธิภาพ โดยงานจะจัดขึ้นในวันพุธที่ 2 …