Controllo password rubate: arriva l'estensione per Chrome di Google per scoprire se si è compromessi

Con miliardi di account compromessi in giro per il web diventa sempre più difficile assicurarsi che i propri account siano al sicuro. E, proprio per questo motivo e in occasione del Safer Internet Day, Google ha rilasciato una nuova estensione specifica per il browser Chrome che controlla, in maniera automatica e sicura, le credenziali utilizzate sui siti web verificandone la presenza all'interno dei database trapelati online in questi anni.

L'estensione di Google è chiamata Password Checkup, ed è già disponibile al download sin da subito. L'obiettivo finale è controllare la sicurezza di qualsiasi password inserita nel browser, sia essa inserita manualmente, sia immagazzinata nel gestore interno, e informare l'utente se ci sono analogie con le voci presenti nel database (protetto da crittografia) di Google che contiene miliardi di account compromessi. Il protocollo usato dall'estensione è stato presentato come standard per il controllo in sicurezza delle credenziali degli account, e l'interfaccia potrebbe essere offerta a terzi per espanderne la diffusione per il numero più elevato possibile di utenti.

Clicca per ingrandire

Stiamo parlando ovviamente di un'operazione delicata e che riguarda dati estremamente sensibili. Il team di sicurezza di Google offre già da tempo il controllo delle password, ma fino ad oggi si è limitato a farlo solo per gli utenti G Suite. Fare lo stesso per le credenziali utilizzate su tutti i restanti servizi del web è ovviamente un discorso totalmente diverso, un argomento in cui l'aspetto della privacy diventa oltremodo più delicato da ambo le parti. Se da una parte ci sono gli utenti che ovviamente non vogliono offrire in chiaro le loro password a Google, dall'altra la stessa Google dispone di un database di account compromessi che non vuole condividere pubblicamente.

Proprio per risolvere il problema sul nascere Password Checkup utilizza diverse procedure che rendono anonimi i dati trattati, oltre alla crittografia necessaria per proteggere qualsiasi fase dello scambio dei dati fra browser e servizi di sicurezza di Big G. L'estensione adotta inoltre una tecnica chiamata "blinding" per creare un indice di ricerca segreto con il quale confrontare le informazioni scambiate, e le credenziali sono rese anonime da una funzione hash Argon2, che crea una chiave di ricerca per il database di Google che viene protetta con crittografia ellittica.

Kurt Thomas di Google ha sottolineato che "dalla parte dell'utente si ottiene un indice che solo l'utente stesso può conoscere", un indice che viene gestito in formato "hash" e con una codifica solo parziale dell'informazione in modo da non poter essere utilizzato in alcun modo per ricreare una versione completa delle credenziali di accesso. Il database utilizzato da Google contiene dati raccolti dai dump delle password che sono finiti online o nei mercati underground, e attualmente consiste in un ammontare di 4 miliardi di credenziali compromesse in costante aggiornamento. E anche la stessa destinazione d'uso del database sembra essere in aggiornamento.

La compagnia ha infatti dichiarato che sta sviluppando nuove possibilità d'uso e che è aperta a suggerimenti sul modo in cui il database potrebbe essere sfruttato. Lo stesso potrebbe rivelarsi una risorsa di grande valore per le compagnie di sicurezza e di ricerca minacce, al fine di individuare tracce di account critici già compromessi su servizi di terze parti. Al momento, però, la compagnia intende dare al popolo di internet uno strumento utile e semplice da usare - oltre che del tutto trasparente nel funzionamento - per capire se sia arrivata l'ora di cambiare password o, addirittura, rivoluzionare profondamente la strategia utilizzata nell'uso delle credenziali online.