Google опубликовал дополнение для оценки компрометации паролей в Chrome
Компания Google подготовила дополнение Password Checkup, предназначенное для анализа надежности используемых пользователем паролей. При попытке входа на любой сайт дополнение выполняет проверку логина и пароля по базе скомпрометированных учетных записей. В настоящее время коллекция Google насчитывает сведения о более чем 4 миллиардах скомпрометированных аккаунтов.
Для сохранения конфиденциальности, при обращении к внешнему API передается лишь первые два байта хэша от связки из логина и пароля (для хэширования используется алгоритм Argon2). Полный хэш шифруется ключом, генерируемым на стороне пользователя. Исходные хэши в базе Google также дополнительно шифруются и оставляется видимым только первые два байта. Конечная сверка хэшей, подпадающих под переданный двухбайтовый префикс, производится на стороне пользователя с использованием техники "ослепления", при которой ни одна из стороне не знает содержимое сверяемых данных. Для защиты от определения содержимого базы скомпрометированных учетных записей путем перебора с запросом произвольных префиксов, отдаваемые данные шифруются в привязке к ключу, сгенерированному на основе проверяемой связки логина и пароля.
