Google lança extensão do Chrome que alerta os usuários sobre senhas violadas

Hoje, no Dia da Internet Segura, o Google lançou uma nova extensão do Chrome chamada “Password Checkup” que verifica se nomes de usuário e combinações de senhas inseridas em formulários de login vazaram online durante violações de dados e incidentes de segurança.

A extensão funciona sempre que os usuários fazem login em um serviço online. A extensão leva o nome de usuário e a senha inseridos no formulário de login e os verifica em um banco de dados com mais de quatro bilhões de credenciais que os engenheiros do Google coletaram de violações públicas nos últimos anos.

Se a combinação de nome de usuário e senha for encontrada no banco de dados interno do Google de credenciais inseguras, a extensão mostrará um pop-up que alerta o usuário de que ele precisa alterar as credenciais.

Imagem – Google

“O Check-in de senhas foi desenvolvido em conjunto com especialistas em criptografia da Universidade de Stanford para garantir que o Google nunca aprenda seu nome de usuário ou senha, e que qualquer violação permanece segura contra uma exposição mais ampla”, afirmou o Google.

A extensão funciona de maneira diferente ao serviço de Monitoramento do Firefox que o Mozilla lançou em novembro de 2018 .

O Monitor do Firefox funciona mostrando um alerta ocasional quando os usuários navegam para um site que foi violado nos últimos 12 meses e pede educadamente que os usuários façam a alteração de senhas.

Por outro lado, as novas extensões de verificação de senha do Google funcionam de forma mais proativa para verificar nomes de usuário e senhas reais inseridos em formulários de login.

Segundo o Google, a extensão não verifica nomes de usuário e senhas individuais, mas ambos os itens ao mesmo tempo, como um “combo”.

Isso significa que a extensão não mostrará alertas quando os usuários usarem senhas simples, como “123456”, mas somente quando o nome de usuário e a senha forem encontrados juntos, como um combo, em dados vazados anteriormente. O Google disse que a razão pela qual não alerta os usuários quando eles usam senhas simples ou vazadas anteriormente é porque eles estavam tentando evitar uma “fadiga” de alerta / popup que pode levar os usuários a ignorar os alertas completamente.

A razão por trás da criação desta extensão é que os grupos de agentes de ameaças estão usando combos de nome de usuário e senha de vazamentos antigos para lançar ataques de preenchimento de credenciais (Credential stuffing), tentando obter acesso a outras contas online onde os usuários reutilizaram suas antigas senhas e logins.

“Queremos ajudar você a se manter seguro, não apenas no Google, mas também em outras partes da web”, disse o Google hoje. “Como esta é a primeira versão, continuaremos aprimorando-a nos próximos meses, inclusive melhorando a compatibilidade do site e a detecção de campo de nome de usuário e senha.”

Para obter detalhes sobre a criptografia que a extensão usa para proteger os nomes de usuário e as senhas inseridas nos formulários de login do Google e de terceiros, veja o comunicado oficial do Google .

A extensão de verificação de senha pode ser baixada da Web Store oficial do Chrome, aqui .