ด้วย “การตรวจสอบรหัสผ่าน” เว็บไซต์ยักษ์ใหญ่นำเสนอเครื่องมือตรวจสอบที่คล้ายกับ “รหัสผ่าน Pwned” แต่ใช้เทคนิคการเข้ารหัสขั้นสูงกว่ามาก
Google ได้ใช้ประโยชน์จากวันอินเทอร์เน็ตที่ปลอดภัยยิ่งขึ้นเพื่อนำเสนอเครื่องมือใหม่ที่จะปรับปรุงระดับความปลอดภัยด้านไอทีของเราในแต่ละวัน บัพติศมารหัสผ่าน Chechupนี่เป็นส่วนขยายสำหรับเบราว์เซอร์ Chrome ซึ่งทุกครั้งที่ผู้ใช้อินเทอร์เน็ตใส่ข้อมูลเข้าสู่ระบบและรหัสผ่านในรูปแบบการเชื่อมต่อ จะตรวจสอบว่าข้อมูลนี้ไม่ได้ถูกบุกรุกจากการละเมิดลิขสิทธิ์หรือไม่ หากเป็นไปได้ ซอฟต์แวร์จะแสดงการแจ้งเตือนเพื่อกระตุ้นให้ผู้ใช้เปลี่ยนรหัสผ่าน
โดยหลักการแล้วเครื่องมือประเภทนี้ไม่ใช่ของใหม่มากนัก ตั้งแต่เดือนกันยายน 2017 เว็บไซต์ Haveibeenpwned ได้เสนอบริการที่คล้ายกันที่เรียกว่ารหัสผ่าน Pwned- ความยากในซอฟต์แวร์ดังกล่าวคือต้องแน่ใจว่ารหัสผ่านจะไม่ถูกเปิดเผย เพราะเห็นได้ชัดว่าไม่มีใครต้องการให้รหัสผ่านแก่ Haveibeenpwned หรือ Google
K-anonymity และลายนิ้วมือ
เพื่อแก้ปัญหายุ่งยากนี้ บริการทั้งสองนี้อาศัยลายนิ้วมือเข้ารหัสและ "k-anonymity" แนวคิดมีดังนี้: เบราว์เซอร์จะสร้างลายนิ้วมือของรหัสผ่านในเครื่องและส่งเฉพาะอักขระตัวแรกของลายนิ้วมือนี้เท่านั้น เพื่อเป็นการตอบสนอง บริการตรวจสอบจะส่งคืนรายการลายนิ้วมือที่ขึ้นต้นด้วยอักขระเดียวกันและอ้างอิงถึงรหัสผ่านที่ถูกบุกรุก รายการนี้จะถูกเปรียบเทียบภายในเครื่อง ในระดับเบราว์เซอร์ ด้วยลายนิ้วมือรหัสผ่านของผู้ใช้ หากปรากฏขึ้นตรงนั้น ผู้ใช้จะได้รับการแจ้งเตือน ในท้ายที่สุด บริการไม่ได้รับทั้งรหัสผ่าน หรือแม้แต่ลายนิ้วมือเข้ารหัสลับ แต่มีเพียงลายนิ้วมือเพียงชิ้นเดียวเท่านั้น
อย่างไรก็ตาม Haveibeenpwned และ Google ใช้หลักการตรวจสอบนี้แตกต่างออกไปมาก ในกรณีแรกอุปกรณ์ค่อนข้างง่าย เบราว์เซอร์แปลงรหัสผ่านเป็นแฮช SHA-1 และรับรายการแฮช SHA-1 ที่ถูกบุกรุกจากเซิร์ฟเวอร์ จากนั้นเขาก็ทำการเปรียบเทียบ ปัญหาคือ SHA-1 เป็นอัลกอริธึมที่ล้าสมัยซึ่งไม่เหมาะสำหรับการป้องกันรหัสผ่านจากการโจมตีแบบเดรัจฉาน จึงมีความเสี่ยงในกรณีที่เกิดการสกัดกั้นรายการลายนิ้วมือ
Google เสนอบริการที่ปลอดภัยเป็นสองเท่า
Google ทำให้ระบบมีความซับซ้อนมากขึ้น เบราว์เซอร์แปลงชื่อผู้ใช้และรหัสผ่านเป็นลายนิ้วมือ Argon2 ซึ่งเป็นอัลกอริธึมที่มีข้อดีคือแข็งแกร่งกว่ามากในการโจมตีแบบเดรัจฉาน จากนั้นลายนิ้วมือนี้จะถูกเข้ารหัสภายในเครื่องโดยใช้อัลกอริธึมการเข้ารหัสตามเส้นโค้งรูปไข่ พร้อมด้วยคีย์ลับที่ผู้ใช้เท่านั้นที่รู้
จากนั้นลายนิ้วมือที่เข้ารหัสจะถูกส่งไปยัง Google ซึ่งจะเพิ่มชั้นการเข้ารหัสที่คล้ายกันโดยใช้รหัสลับของตัวเอง และส่งทั้งหมดกลับไปยังเบราว์เซอร์ ลายนิ้วมือที่เข้ารหัสสองเท่าจะถูกถอดรหัสตามรหัสลับของผู้ใช้ ดังนั้นเราจึงได้รับลายนิ้วมือ Argon2 ที่เข้ารหัสโดย Google ในเครื่อง ลายนิ้วมือที่เข้ารหัสนี้จะถูกเปรียบเทียบในระดับเบราว์เซอร์กับรายการลายนิ้วมือ Argon2 ที่ Google เข้ารหัสและส่ง
เมื่อมองจากภายนอก อุปกรณ์ของ Google ดูมีความปลอดภัยมากขึ้นอย่างมาก เนื่องจากใช้อัลกอริธึมลายนิ้วมือเข้ารหัสลับที่แข็งแกร่งขึ้น และเพิ่มการป้องกันเพิ่มเติมผ่านการเข้ารหัส
อย่างไรก็ตาม ฐานข้อมูลลายนิ้วมือที่ถูกบุกรุกของ Google ยังไม่สมบูรณ์เท่ากับฐานข้อมูลของ Haveibeenpwned ในขณะนี้แบบมีสายทดสอบส่วนขยายด้วยตัวระบุที่ถูกบุกรุกอย่างมากโดยไม่ทำให้เกิดการแจ้งเตือนใดๆ ผู้ใช้อินเทอร์เน็ตบางรายยังกลัวว่า Google จะใช้ส่วนขยายนี้เพื่อรวบรวมและวิเคราะห์การเดินทางของตนบนเว็บ เราถามคำถามนี้กับยักษ์ใหญ่เว็บ และจะอัปเดตบทความนี้ทันทีที่เราได้รับคำตอบ
แหล่งที่มา :
Google บล็อก
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
