Chrome preverja gesla in opozarja pred ribarjenjem
Matjaž Ropret 12. decembra 2019 ob 12:05

Večina uporabnikov verjetno ve, da brskalnik Chrome (pa tudi drugi) lahko shranjuje njihova gesla. Tako jih ni treba vedno znova vpisovati. Po novem Googlov brskalnik ob vsakem vpisovanju gesla preverja, če se ni morda kje znašlo med ukradenimi. In opozarja ob poskusu vpisovanja gesel v lažne spletne strani.

Vdori v različne spletne strani in storitve ni ravno redki. Še bolj pogosto pa je t. i. ribarjenje (phishing), s katerim napadalci lovijo uporabniška imena in gesla neukih, neprevidnih ali naivnih uporabnikov spleta. Pri vdorih pa jim občasno tudi uspe pridobiti večjo zbirko tovrstnih podatkov. Običajno so gesla šifrirana, a zgodi se, da kje (po pomoti?) niso, in potem nepridipravi razpolagajo z lepim naborom kombinacij, ki jih lahko preizkušajo marsikje. Kajti le redki imajo različne prijavne podatke za različne strani in storitve, velika večina jih reciklira eno in isto kombinacijo, ali pa jih ima pripravljenih kakšnih pet, ki si jih lahko zapomni in potem rotira.

»Ko vpisujete vaše prijavne podatke v spletno stran, vas brskalnik Chrome po novem opozori, če sta bila to uporabniško ime in geslo med ukradenimi pri vdoru v katero od strani ali aplikacij. V takem primeru vam bo brskalnik predlagal, da geslo spremenite povsod, kjer ste ga uporabljali,« so novost predstavili pri Googlu. Tehnologijo preverjanja gesel so sicer uvedli že pred časom ko so ponudili vtičnik, ki počne natanko isto, kot zdaj brskalnik sam – sproti preverja varnost gesel. Zadevo s razširili še na opozarjanje, kadar uporabnik poskuša vpisati svoje podatke v stran, ki jo je brskalnik prepoznal kot lažno. V ozadju seveda mora Google imeti bazo ukradenih prijavnih podatkov z različnih koncev. To ima denimo že dolgo časa tudi spletna stran Have I been pwned?, kjer je mogoče vtipkati svoj e-poštni naslov in tako preveriti, če se je morda znašel (in z njim povezano geslo) v kakšnem od vdorov oz. kraj. Pri tej storitvi sicer nikoli nisem bil prepričan, da ni hkrati velika zbiralnica e-poštnih naslovov, zato je pač treba iti na zaupanje. Točno to pravijo tudi njeni upravljavci v razdelku Pogosta vprašanja in odgovori na vprašanje, »Kako vem, da ni vse, kar ta stran počne, zgolj za zbiranje e-naslovov?« Odgovarjajo namreč: »Ne morete vedeti, vendar tega ne počne. Stran je zgolj brezplačna storitev za preverjanje tveganja. Kot pri vsaki spletni strani – če vas skrbi njen namen ali varnost, je ne uporabljajte.« Vsak sam naj se odloči, ali bo vpisal svoj naslov v tisto iskalno vrstico ali ne.

Google je poleg vtičnika ponudil tudi preverjanje gesla znotraj uporabniškega računa. Kdor je namreč v brskalniku vpisan s svojim računom (za Gmail in ostale Googlove storitve, kar se vidi v krogcu v zgornjem desnem kotu), se lahko odloči za sinhronizacijo podatkov med napravami in shranjevanje gesel v oblak. Pri uporabnikih, ki niso vpisani, gredo gesla zgolj na disk dotičnega računalnika. Šifrirano, seveda, »odklene« pa jih geslo za sistem Windows. Med uporabo računalnika so torej vidna, če bi si kdo prilastil disk in ga priključil nekam drugam, pa videl samo množico čudnih znakov. Prednost vpisa je, da so vsi podatki o brskanju po spletu uporabniku na voljo na vseh napravah, tako lahko denimo na telefonu nadaljuje tam, kjer je na računalniku končal. In tudi prijavne podatke lahko iz oblaka dobi kjerkoli, podobno, kot če bi uporabljal enega od namenskih upraviteljev gesel. »Slaba« stran tega je pač v dejstvu, da ponudnik, v tem primeru Google, veliko ve o uporabniku. Kdor s tem nima težav, dobi zelo uporabne funkcionalnosti, kdor pa jih ima, naj se ne vpisuje ali celo izbere kakšen druga brskalnik, ki je bolj podrejen zasebnosti, denimo Brave.

Tu vidiš, ali si vpisan v Chrome ali ne, in če sinhroniziraš svoje podatke z oblakom.

Gesla pa je pri Googlu mogoče preveriti znotraj uporabniškega računa, pod razdelkom varnost. Tam na dnu poišči bližnjico na Upravitelja gesel in ko vstopiš vanj imaš nad seznamom vseh shranjenih gesel možnost Pregled gesla. Ta po nekaj sekundah preverjanja pove, ali je bilo katero od shranjenih gesel kompromitirano, katera uporabljaš na več koncih in podobno. Vsekakor priložnost za kakšno optimizacijo. Nasvete, kako si izmišljati gesla, kako ravnati z njimi in kako se zavarovati pred vdori, pa smo dali v teh člankih:

Gesla naj bodo močna in zapisana nekje na varnem
Ustvari močno geslo in ga pozabi?
Brez panike z gesli, dobro pa je imeti sistem
Kako zavarovati svojo najpomembnejšo napravo?

Naslovna fotografija: Deposit Photos

Avtor Matjaž Ropret
mm
Matjaž že več kot desetletje novinarsko pokriva tehnološki svet. Najprej na Radiu Slovenija, nato je na Delu od začetka leta 2009 do jeseni 2016 urejal redno tedensko prilogo Infoteh in pripadajočo rubriko na spletni strani. Zdaj je urednik Tehnozvezdja in hkrati glavni avtor na tej strani. Uporablja tiste naprave, ki se mu zdijo tehnološko dovolj napredne, uporabne in narejene z vsaj nekaj sloga, ne glede na znamko, operacijski sistem, platformo in ostale religiozne razloge.
Matjaž Ropret - prispevki
Brez komentarjev

Dodaj odgovor

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja