A Google két nagyon fontos és hasznos újítást jelentett be, amelyek segítenek majd a harmadik fél által kiszivárogtatott bejelentkezési adatok elleni harcban. Az egyik újdonság egy speciális Chrome bővítmény, amely rögtön szól, ha egy adott weboldalon kiszivárgott adatokkal akarunk bejelentkezni – gyakorlatilag figyelmeztet a jelszó-csere szükségességére –, a másik újítás pedig a Google Sign In rendszerű weboldalak hatékonyabb védelmében segédkezik.

Google Chrome Password Chechkup

A Google Account mellé alap esetben igen komoly védelem jár a biztonsági fenyegetésekkel szemben, amelynek az is része, hogy ha adatszivárgást érzékel a rendszer, automatikusan alaphelyzetbe állítja a felhasználó jelszavát, így az ellopott bejelentkezési adatokkal nem tudnak visszaélni a kiberbűnözők. Annak érdekében, hogy azoknál az oldalaknál is hasonlóan hatékony védelmet élvezhessünk, amelyek nem tartoznak a Google-flotta kötelékébe, elkészült egy Password Checkup névre keresztelt bővítmény, ami lényegében csak egy dolgot tesz: szól, ha az éppen beírt belépési adataink kiszivárogtak volna valahol, és rögtön fel is hívja a figyelmet arra, hogy ideje jelszót cserélni.

A bővítmény egy 4 milliárdnál is több kiszivárgott bejelentkezési adatokból álló adatbázisra támaszkodik. A Password Checkup működése során nem fecsegi ki használója bejelentkezési adatait, azonosítóját és eszközeinek adatait sem a Google szakembereinek, sem másoknak, ugyanis fejlett adatvédelmi és kriptográfiai technikákat használ, amelyek kifejlesztésében a Stanford Egyetem kutatói, illetve a Google fejlesztői egyaránt részt vettek. A bővítményt itt lehet megtalálni, telepítése pedig egyszerű: csak hozzá kell adni a Chrome-hoz, majd élvezhetjük is az általa kínált előnyöket.

Cross-Account Protection

Ritka esetekben előfordulhat, hogy egyes támadások alkalmával a Google Account bejelentkezési adatait is képesek megszerezni a kiberbűnözők. A Google fiók védelme természetesen azonnal bekapcsol, ám azoknál a weboldalaknál, ahol szintén Google fiók alapú bejelentkezést használunk, így is maradhat biztonsági rés, amelyen keresztül támadás indítható.

Az új Cross-Account Protection pont ezt a kiskaput zárja be, ha az alkalmazások és weboldalak fejlesztői alkalmazzák a szolgáltatást. Amennyiben a Google Accountot támadás éri, az új funkció keretén belül az érintett odalak is értesítést kapnak az esemény tényéről. Az értesítés keretén belül persze csak az eseményről, illetve a legfontosabb alapinformációkról szerezhetnek tudomást azok az alkalmazások és weboldalak, ahol éppen be vagyunk jelentkezve Google fiókunkkal, kényes adatokhoz nem jutnak. A szolgáltatást a Google számos fontos piaci szereplővel együttműködve fejlesztette ki, így egyebek mellett az IETF (Internet Engineering Task Force) és az Adobe szakemberei is szerepet vállaltak a munkában. A cél az volt, hogy a végeredmény könnyedén implementálható, illetve hatékonyan használható legyen.

Azok az alkalmazásfejlesztők, akik a Firebase vagy a Google Cloud Identity for Customers @ Partners csomagot használják, alapértelmezetten megkapják az új funkciót, így azt már használhatják is.

A két újítástól a Google szakemberei azt remélik, hogy segítenek az internet biztonságosabbá tételében. Hogy beváltják-e a hozzájuk fűzött reményeket? Idővel kiderül, az viszont biztos, hogy mindkét újdonságra nagy figyelmet fordítanak majd, és természetesen fejlesztik is őket, ha szükséges.