Nel 2019, Google ha introdotto nel browser Chrome la funzionalità chiamata Controllo di sicurezza (SafetyCheck). Si tratta di uno strumento che permette di eseguire dei controlli automatici per accertare che le password usate per l’accesso ai vari servizi online non siano state violate. La funzione verifica anche che la Navigazione sicura risulti correttamente abilitata, che il browser sia aggiornato all’ultima versione e che l’utente non abbia installato eventuali estensioni dannose o pericolose.
Quando Google presentò Controllo di sicurezza, lo strumento di protezione integrato in Chrome risultava principalmente focalizzato sulle password. Successivamente però, anno dopo anno, è diventato un meccanismo con una serie di abilità molto più ampie.
Per la prima volta, Controllo di sicurezza cambia in modo radicale e d’ora in avanti si attiva per intervenire automaticamente in caso di situazioni potenzialmente pericolose.
Come accedere al Controllo di sicurezza Chrome
Per accedere alla schermata del Controllo di sicurezza Chrome, suggeriamo di digitare chrome://settings/safetyCheck
nella barra degli indirizzi. Come si vede, Controllo di sicurezza mostra tre grandi riquadri: da sinistra verso destra, il primo è incentrato sulle password, il secondo sull’aggiornamento di Chrome, il terzo sulla configurazione della Navigazione sicura.
Con un clic sul primo riquadro, Controllo di sicurezza effettua una scansione delle password memorizzate nell’archivio integrato di Chrome. Il password manager dei browser Web non è sicuro per definizione: come abbiamo visto in altri nostri articoli, basta davvero poco per trovare password in Windows, comprese quelle conservate nei password manager.
Ad ogni modo, Chrome controlla ogni singola password memorizzata e verifica, un po’ come fa Have I been pwned, se fosse stata sottratta da parte di criminali a valle di qualche incidente informatico. Verifica inoltre se le stesse password siano riutilizzate su più servizi (si tratta di una pratica fortemente sconsigliata, come abbiamo spiegato nell’articolo su come creare password sicure) oppure siano poco robuste. Le password inefficaci possono infatti essere soggette ad attacchi brute force, tesi a indovinarle attraverso una serie di tentativi in rapida sequenza. A questo proposito, abbiamo visto quanto tempo ci vuole per violare le password.
Va detto che, come nel nostro caso, Controllo di sicurezza pecca a volte di un po’ di “eccesso di zelo”. Abbiamo memorizzato delle password che fanno riferimento a indirizzi IP locali: si tratta di sistemi di test che poi abbiamo rimosso. Ecco, Controllo di sicurezza segnala come problematiche anche quelle password, relative a sistemi non esposti sulla rete Internet e per di più che non rispondono neppure al ping in ambito locale.
Gestione delle password sotto forma di hash
Per sgombrare il campo da qualunque equivoco, Google non carica online le password degli utenti: si limita a calcolare l’hash di ciascuna password e verifica nei suoi database se vi fossero evidenze circa il furto di dati relativi a quella credenziale.
La gestione delle password, insomma, avviene utilizzando sempre e soltanto l’hash corrispondente. L’hash, come abbiamo spiegato nell’articolo citato in precedenza, è una rappresentazione alfanumerica sicura che non può essere invertita. In altre parole, a partire dall’hash non è possibile derivare e quindi esporre in chiaro la password originale.
Perché e come cambia il Controllo di sicurezza in Chrome
Google spiega che d’ora in avanti Controllo di sicurezza può mettere in campo delle contromisure proattive, sui sistemi desktop così come sui dispositivi mobili.
Questo significa che la funzionalità di sicurezza del browser made-in-Mountain View può agire autonomamente, senza più attendere sempre un’esplicita conferma dell’utente.
Gli ingegneri software di Google spiegano che adesso Controllo di sicurezza provvede a rimuovere permessi dei siti Web che non si visitano da tempo, attivandosi inoltre anche per revocare le autorizzazioni eventualmente concesse a tutti quei siti che Google Safe Browsing ritiene irrispettosi degli utenti. Safe Browsing equivale alla funzionalità Navigazione sicura ed è il secondo anello di protezione integrato in Chrome.
In un altro articolo abbiamo visto le differenze tra Navigazione sicura avanzata e standard: ecco, Navigazione sicura può riconoscere e “censurare” quei siti Web che utilizzano mezzi non consentiti per indurre gli utenti ad accordare un permesso. Controllo di sicurezza revoca automaticamente i permessi a tutte queste pagine.
Con gli ultimi aggiornamenti di Chrome, inoltre, sia su mobile che su desktop, Google ha previsto la possibilità di accordare permessi ai siti Web validi per una sola volta. In altre parole, è possibile consentire l’utilizzo del microfono, della videocamera o fornire qualunque altra autorizzazione soltanto per il tempo in cui si tiene aperta la scheda di navigazione.
Particolarmente apprezzabile anche la possibilità di annullare la ricezione delle notifiche con un semplice tocco sui dispositivi Android.