Hoy nosotros Anunciado mejores protecciones de contraseña en Chrome, que se implementarán gradualmente con la versión M79. Aquí están los detalles de cómo funcionan.
Advertencias sobre contraseñas comprometidas
Google primero introducido advertencias de violación de contraseña como un Extensión de verificación de contraseña a principios de este año. Compara contraseñas y nombres de usuario con más de 4 mil millones de credenciales que Google sabe que han sido comprometidas. Puedes leer más al respecto aquí. En octubre, Google creó la función de verificación de contraseña en la cuenta de Google, haciéndolo disponible desde passwords.google.com.
La integración de Chrome es un próximo paso all-natural para garantizar que protejamos a más usuarios mientras navegan por la internet. Así es como funciona:
- Cada vez que Google descubre un nombre de usuario y una contraseña expuestos por la violación de datos de otra empresa, almacenamos una copia cifrada y cifrada de los datos en nuestros servidores con una clave secreta que solo Google conoce.
- Cuando inicia sesión en un sitio world-wide-web, Chrome enviará una copia en hash de su nombre de usuario y contraseña a Google encriptada con una clave secreta que solo Chrome conoce. Nadie, incluido Google, puede derivar su nombre de usuario o contraseña de esta copia encriptada.
- Para determinar si su nombre de usuario y contraseña aparecen en algún incumplimiento, utilizamos una técnica llamada intersección privada con cegamiento eso implica múltiples capas de encriptación. Esto nos permite comparar su nombre de usuario y contraseña cifrados con todos los nombres de usuario y contraseñas violados cifrados, sin revelar su nombre de usuario y contraseña, ni revelar ninguna información sobre los nombres de usuario y contraseñas de otros usuarios. Para que este cálculo sea más eficiente, Chrome envía un prefijo hash SHA256 de 3 bytes de su nombre de usuario para reducir la escala de los datos unidos de 4 mil millones de registros a 250 registros, al tiempo que garantiza que su nombre de usuario permanezca en el anonimato.
- Solo usted descubre si su nombre de usuario y contraseña han sido comprometidos. Si se han visto comprometidos, Chrome se lo informará y le recomendamos encarecidamente que cambie su contraseña.
Puede controlar esta función en «Servicios de sincronización y Google«De la Configuración de Chrome. Los administradores empresariales pueden controlar esta característica usando la configuración de la política de detección de fuga de contraseña habilitada.
Protección contra phishing en tiempo genuine: Verificación con la lista de bloqueo de Navegación segura en tiempo real.
La nueva protección contra phishing en tiempo actual de Chrome también está expandiendo la tecnología existente, en este caso, está bien establecida por Google Navegación segura.
Todos los días, Navegación segura descubre miles de nuevos sitios inseguros y los agrega a las listas de bloqueo compartidas con la industria web. Chrome verifica la URL de cada sitio que visita o el archivo que descarga en esta lista regional, que se actualiza aproximadamente cada 30 minutos. Si navega a una URL que aparece en la lista, Chrome verifica una huella electronic parcial de la URL (los primeros 32 bits de un hash SHA-256 de la URL) con Google para verificar que la URL es realmente peligrosa. Google no puede determinar la URL true a partir de esta información.
Sin embargo, nos damos cuenta de que algunos sitios de phishing se escapan de nuestra ventana de actualización de 30 minutos, ya sea cambiando de dominio muy rápidamente o ocultándose de los rastreadores de Google.
Ahí es donde entran las protecciones de phishing en tiempo genuine. Estas nuevas protecciones pueden inspeccionar las URL de las páginas visitadas con los servidores de Navegación segura en tiempo serious. Cuando visita un sitio web, Chrome lo compara con una lista almacenada en su computadora de miles de sitios website populares que se sabe que son seguros. Si el sitio internet no está en la lista segura, Chrome verifica la URL con Google (después de eliminar cualquier nombre de usuario o contraseña incrustado en la URL) para averiguar si está visitando un sitio peligroso. Nuestro análisis ha demostrado que esto da como resultado un aumento del 30% en las protecciones al advertir a los usuarios sobre sitios maliciosos que son completamente nuevos.
Inicialmente implementaremos esta función para las personas que ya han optado por «Mejora las búsquedas y la navegación.«En Chrome. Los administradores de empresas pueden administrar esta configuración a través de Configuración de política habilitada para recopilación de datos anónimos con clave de URL.
Ampliación de la protección predictiva de phishing
Su contraseña es la clave de su identidad y datos en línea. Si esta clave cae en manos de los atacantes, pueden hacerse pasar fácilmente por usted y obtener acceso a sus datos. Nosotros lanzado protecciones predictivas de phishing para advertir a los usuarios que están sincronizando el historial en Chrome cuando ingresan la contraseña de su cuenta de Google en sitios sospechosos de phishing que intentan robar sus credenciales.
Con esta última versión, ampliaremos esta protección a todos los que hayan iniciado sesión en Chrome, incluso si no ha habilitado la sincronización. Además, esta función ahora funcionará para todas las contraseñas que haya almacenado en el administrador de contraseñas de Chrome.
Si escribe una de sus contraseñas protegidas (esta podría ser una contraseña que almacenó en el administrador de contraseñas de Chrome o la contraseña de la cuenta de Google que utilizó para iniciar sesión en Chrome) en un sitio inusual, Chrome clasifica esto como un evento potencialmente peligroso.
En tal situación, Chrome comprueba el sitio con una lista en su computadora de miles de sitios web populares que se sabe que son seguros. Si el sitio world-wide-web no está en la lista segura, Chrome verifica la URL con Google (después de eliminar cualquier nombre de usuario o contraseña incrustado en la URL). Si esta verificación determina que el sitio es realmente sospechoso o malicioso, Chrome le mostrará inmediatamente una advertencia y lo alentará a cambiar su contraseña comprometida. Si la contraseña de su cuenta de Google fue suplantada, Chrome también ofrece notificar a Google para que podamos agregar protecciones adicionales para garantizar que su cuenta no se vea comprometida.
Al observar la reutilización de la contraseña, Chrome puede brindar una mayor seguridad en momentos críticos al tiempo que minimiza los datos que comparte con Google. Creemos que la protección predictiva contra phishing protegerá a cientos de millones de personas más.
