Hlavní navigace

Rozšíření pro Chrome odhalí kompromitované účty

Sdílet

Ondřej Caletka 14. 2. 2019
Google Chrome Password Checkup

Google představil rozšíření Password Checkup pro prohlížeč Chrome. Toto rozšíření automaticky varuje uživatele, pokud se hlásí ke službě uživatelským jménem nebo heslem, které se objevilo v některém z úniků přihlašovacích údajů, která má Google k dispozici. Jedná se tedy o službu obdobnou webové službě HaveIBeenPwned.com, kterou provozuje známý bezpečnostní expert Troy Hunt.

Na blogu Google security je podrobně rozebrán protokol, kterým rozšíření komunikuje. Ten byl navržen ve spolupráci s odborníky ze Stanfordovy univerzity tak, aby nikdo nedokázal odhalit, která uživatelská jména a hesla jsou rozšířením testována a aby zároveň bylo vyloučeno procházení databáze uniklých údajů.

Jak funguje rozšíření Password Checkup
Google

Jak funguje rozšíření Password Checkup

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 16. 2. 2019 16:47

    - -

    Místo palců bych prosil vysvětlení.
    Kryptografie je o důvěře, ne o něčem co lze dokázat. Proto je třeba, aby algoritmy a jejich implementace byly co možná nejjednodušší a nejprůhlednější.

  • 16. 2. 2019 19:39

    Vít Šesták

    Protože by tím server mohl identifikovat, o které údaje jde, aspoň pokud by šlo o nějaké údaje, které jsou v DB. Koneckonců tím hashem přesně identifikujete, který záznam v DB se má odeslat. To by u oblivious transferu jít nemělo. Popis jsem viděl letmo, nejspíš identifikujete skupinu N záznamů a klient si jeden vybere, aniž by server věděl, který záznam si klient vybral. Asi bude i nějak řešeno, aby člověk nemohl číst náhodné záznamy. Oblivious transfer obecně brání čtení více než jednoho záznamu. Proto je ten protokol tak složitý…