In occasione del Safer Internet Day, giornata che ha come obiettivo primario quello di sensibilizzare gli utenti aiutandoli a comprendere come riconoscere ed evitare le principali minacce online, Google ha pubblicato una serie di contenuti e guide video per aiutare utenti, genitori, insegnanti e ragazzi ad acquisire le nozioni fondamentali per muoversi sulla rete Internet in tutta sicurezza (vedere queste pagine).
Non solo. La società di Mountain View ha anche pubblicato una nuova estensione per il browser Chrome chiamata Password Checkup: essa si occupa di esaminare il livello di sicurezza di ciascuna password utilizzata per la protezione dei vari account e allertare l’utente nel momento in cui le proprie credenziali fossero coinvolte in qualche furto di dati.
Come sappiamo, Google – così come altri provider – provvedono a reimpostare automaticamente le password degli account che potrebbero essere stati violati. In questo modo, soprattutto quando la cosiddetta Verifica in due passaggi non dovesse risultare attiva (Verifica in due passaggi Google: solo 10% degli utenti la usano), eventuali criminali informatici non potranno avere accesso alle informazioni altrui.
L’estensione Password Checkup appena pubblicata online si occupa di controllare ogni account utente conosciuto al password manager di Chrome (quindi tutte le credenziali, non soltanto quelle Google).
L’idea è la stessa alla base del funzionamento del servizio Have I been pwned con la differenza che Password Checkup fa tutto in automatico e avvisa tempestivamente l’utente in caso di problemi.
I tecnici di Google assicurano che le credenziali degli utenti non vengono mai trasferite così come sono, quindi in chiaro, sui server dell’azienda: l’estensione Password Checkup pone in essere una serie di misure tecniche per crittografare le credenziali non permettendo così a nessuno, lungo il percorso, di risalirvi. Non solo. Neppure Google può mai conoscere le credenziali dell’utente perché gli algoritmi con cui i dati vengono cifrati funzionano in un’unica direzione e non sono quindi invertibili.
Il meccanismo è stato realizzato usando tecnologie ben note (quindi senza “reinventare la ruota”) ed è stato messo a punto dai crittografi di Google di concerto con i colleghi della Stanford University. I dettagli tecnici sono illustrati in questo articolo e riassunti in un’efficace infografica.
A beneficio di chi comunque non si fidasse e preferisse mantenere tutte le credenziali in locale, suggeriamo di seguire la procedura illustrata nel nostro articolo Password violate o insicure: come verificare le proprie. Scaricando l’archivio del servizio Have I been pwned gestito da Troy Hunt sotto forma di archivio compresso, è possibile usare qualche comando per cercare le proprie password senza scambiare in rete un solo byte di dati riferibile alle proprie credenziali.
Aggiornamento dell’11 febbraio 2019. Un aspetto da non sottovalutare è che, come esplicitamente dichiarato da Google, l’estensione Password Checkup non trasferisce mai informazioni su account, nomi utente, password e dispositivi utilizzati utilizzabili per esercitare un’identificazione univoca. Google conferma però di raccogliere e registrare dati anonimi sui nomi a dominio cui si riferiscono le segnalazioni eventualmente mostrate agli utenti. In altre parole, se l’utente utilizzasse credenziali non sicure, questi verrebbe informato e il dominio verrebbe passato in chiaro a Google. In generale, comunque, i nomi a dominio possono transitare in chiaro (come confermato in questa analisi) mentre tutti gli altri dati vengono crittografati e resi anonimi.