O Mark Risher, ανώτερος διευθυντής της Google για την ασφάλεια των λογαριασμών, την ταυτότητα και την κατάχρηση, δήλωσε στο “The Verge” ότι οι κωδικοί πρόσβασης είναι ένα από τα χειρότερα πράγματα στο Διαδίκτυο, ισχυριζόμενος πως αν και είναι απαραίτητοι για την ασφάλεια και την σύνδεση των ατόμων σε πολλές εφαρμογές και site, είναι ίσως ο κυριότερος παράγοντας που οδηγεί στην παραβίαση των συστημάτων των χρηστών. Μπορεί να φαίνεται περίεργο το γεγονός ότι ένα στέλεχος ασφαλείας της Google λέει κάτι τέτοιο, δεδομένου ότι για την σύνδεση στο Gmail, χρειάζεται κωδικός πρόσβασης. Ωστόσο, η εταιρεία προσπαθεί να απομακρύνει τους χρήστες από αυτό το μοντέλο εδώ και χρόνια, ή τουλάχιστον να το ελαχιστοποιήσει. Ένα από τα πιο “αθόρυβα” εργαλεία της Google σε αυτήν την προσπάθεια, το Password Checkup plugin, θα γίνει πιο γνωστό, καθώς συνδέεται με τον πίνακα ελέγχου Security Checkup που είναι ενσωματωμένος σε κάθε λογαριασμό της Google. Αν και οι χρήστες μπορούν να χρησιμοποιήσουν κάποιο εργαλείο, όπως ο διαχειριστής κωδικών πρόσβασης, για να παρακολουθούν τα στοιχεία σύνδεσής τους, πολλοί καταλήγουν στην επαναχρησιμοποίηση των ίδιων κωδικών πρόσβασης σε πολλούς λογαριασμούς.
Ενδεικτικά, το 52% των χρηστών επιλέγει την επαναχρησιμοποίηση των ίδιων κωδικών πρόσβασης σε πολλούς λογαριασμούς, ενώ το 13% χρησιμοποιεί τους ίδιους κωδικούς πρόσβασης σε όλους τους λογαριασμούς του, σύμφωνα με τα αποτελέσματα μιας δημοσκόπησης που δημοσιεύθηκε τον Φεβρουάριο του 2019 από την Google και την εταιρεία Harris. Η Microsoft δήλωσε το 2019 ότι 44 εκατομμύρια λογαριασμοί Microsoft χρησιμοποίησαν συνδέσεις που είχαν διαρρεύσει στο διαδίκτυο. Ενώ η επαναχρησιμοποίηση κωδικών πρόσβασης σε παραπάνω από έναν λογαριασμούς μπορεί να είναι ένας τρόπος για να θυμούνται οι χρήστες μια περίπλοκη λέξη, φράση ή συνδυασμό γραμμάτων, αριθμών και συμβόλων που νομίζουν ότι κανείς δεν θα μπορεί ποτέ να μαντέψει, στην πράξη αυτό μπορεί να θέσει σε κίνδυνο τα προσωπικά τους στοιχεία και δεδομένα. Εάν αυτός ο επαναχρησιμοποιημένος κωδικός πρόσβασης διαρρεύσει ύστερα από παραβίαση δεδομένων, χάκερς θα μπορούσαν να αποκτήσουν πρόσβαση σε πολλούς από τους άλλους διαδικτυακούς λογαριασμούς ενός χρήστη, ανεξάρτητα από το πόσο περίπλοκη είναι η φράση που έχει θέσει ως κωδικό. Όπως αναφέρει ο Kurt Thomas, μέλος της ερευνητικής ομάδας της Google για την ασφάλεια και την κατάχρηση, τα άτομα των οποίων τα δεδομένα έχουν διαρρεύσει, είναι 10 φορές πιο πιθανό να πειραματιστούν, συγκριτικά με ένα άτομο που δεν έχει εκτεθεί από κάποια παραβίαση.
Η Google προσπαθεί να βοηθήσει τους χρήστες να υιοθετήσουν καλύτερες συνήθειες όσον αφορά τους κωδικούς πρόσβασης που θέτουν. Εδώ και χρόνια, η εταιρεία προσφέρει έναν ενσωματωμένο διαχειριστή κωδικών πρόσβασης σε λογαριασμούς Google σε Chrome και Android που μπορεί να αποθηκεύει τους κωδικούς πρόσβασης των χρηστών και να τους συμπληρώνει αυτόματα σε site και εφαρμογές. Ωστόσο από πέρυσι, η Google προσπαθεί να βοηθήσει τους χρήστες να θέσουν προληπτικά ισχυρότερους κωδικούς πρόσβασης με τον Έλεγχο κωδικών πρόσβασης. Πρόκειται για ένα εργαλείο που ελέγχει τις συνδέσεις σε μια βάση δεδομένων με 4 δισεκατομμύρια credentials που έχουν διαρρεύσει, βλέποντας αν ο κωδικός πρόσβασης που πληκτρολογεί ένας χρήστης αντιστοιχεί σε αυτόν που έχει ήδη διαρρεύσει.
Το να κατανοήσει κάποιος πώς να αφήσει το Password Checkup να παραβιάσει τα credentials με τρόπο που να σέβεται το απόρρητο, ήταν ένα δύσκολο τεχνικό πρόβλημα που απαιτούσε μια από κοινού προσπάθεια από την Google και το Πανεπιστήμιο Στάνφορντ. Η πρόκληση ήταν να βρεθεί ένας τρόπος αυτόματου ελέγχου των credentials ενός χρήστη σε μια βάση δεδομένων παραβιασμένων συνδέσεων, χωρίς να αποκαλυφθούν αυτές οι πληροφορίες στην Google ή να δοθεί στον χρήστη πρόσβαση σε ολόκληρη τη βάση δεδομένων, ενώ ταυτόχρονα κλιμακώθηκε αυτή η λύση στην τεράστια βάση χρηστών της Google. Για να γίνει αυτό, η Google αποθηκεύει μια κρυπτογραφημένη έκδοση κάθε γνωστού ονόματος χρήστη και κωδικού πρόσβασης που εκτίθεται από παραβίαση δεδομένων. Κάθε φορά που συνδέεται ένας χρήστης σε κάποιον λογαριασμό, η Google θα στέλνει μια κρυπτογραφημένη έκδοση των πληροφοριών σύνδεσής του σε αυτήν τη βάση δεδομένων. Με αυτόν τον τρόπο, η Google δεν μπορεί να δει τον κωδικό πρόσβασής του και εκείνος δεν μπορεί να δει τη λίστα με τις γνωστές παραβιάσεις της Google. Εάν η Google εντοπίσει ένα match, θα εμφανίσει μια ειδοποίηση που συνιστά στον χρήστη να αλλάξει τον κωδικό πρόσβασής του για αυτόν τον ιστότοπο. Η Google λαμβάνει παραβιασμένες συνδέσεις από πολλές διαφορετικές πηγές και αξιόπιστους συνεργάτες, συμπεριλαμβανομένων των υπόγειων φόρουμ όπου οι κωδικοί πρόσβασης κοινοποιούνται δημόσια.
Η εταιρεία έχει μια ηθική πολιτική σύμφωνα με την οποία δεν θα πλήρωνε ποτέ κυβερνοεγκληματίες για κλεμμένα δεδομένα. Αλλά λόγω του τρόπου λειτουργίας αυτών των αγορών, πολύ συχνά τα κλεμμένα δεδομένα θα διαρρεύσουν. Χρησιμοποιώντας personas που έχει η Google σε αυτές τις αγορές, η εταιρεία μπορεί να αποκτήσει τα δεδομένα. Ο Έλεγχος κωδικών πρόσβασης χρειάστηκε περίπου δύο έως τρία χρόνια από την κυκλοφορία του για να εμφανιστεί σε πολλά προϊόντα Google, σύμφωνα με τον Thomas. Η Google θέλει να ενημερώνει τους χρήστες όταν εντοπίζει ότι μια αποθηκευμένη σύνδεση έχει παραβιαστεί. Μέσα στο έτος, η Google σχεδιάζει να επιτρέψει στους χρήστες να χρησιμοποιούν τον Έλεγχο κωδικών πρόσβασης στο Chrome, ακόμη και αν δεν είναι συνδεδεμένοι σε λογαριασμό Google.
Η Google δεν είναι η μόνη εταιρεία που προσφέρει λειτουργία ελέγχου κωδικών πρόσβασης. Ο διαχειριστής κωδικών επί πληρωμή 1Password προτείνει την αλλαγή αδύναμων ή διπλότυπων κωδικών πρόσβασης και προσφέρει το Watchtower, το οποίο ελέγχει τα στοιχεία σύνδεσης των χρηστών με βάση τη βάση δεδομένων του Troy Hunt’s Have I Been Pwned με περισσότερους από 9 δισεκατομμύρια παραβιασμένους λογαριασμούς και επισημαίνει τυχόν matches. Ακόμη, η Apple ανακοίνωσε ότι η επόμενη έκδοση του Safari θα περιλαμβάνει ένα εργαλείο παρακολούθησης κωδικών πρόσβασης που αναμένεται να λειτουργεί παρόμοια με τον Έλεγχο κωδικών πρόσβασης. Ωστόσο, η Google έχει ένα πλεονέκτημα να βοηθά τους χρήστες με τους κωδικούς πρόσβασης χάρη στη μεγάλη κλίμακά της. Εργαλεία όπως το Password Checker και η ενσωματωμένη διαχείριση κωδικών πρόσβασης φτάνουν σε έναν ευρύτερο στόχο για να καταστήσουν την ασφάλεια πιο εύκολη για τους χρήστες του διαδικτύου.
