Расширение сверяет введенный на сайте пароль с базой скомпрометированных учетных данных.
Компания Google подвела первые итоги работы расширения Password Checkup, предупреждающего пользователей Chrome о скомпрометированных паролях. По информации производителя, плагин установили более 650 тыс. пользователей браузера, однако лишь четверть из тех, кто получил предупреждение о небезопасном пароле, изменили его. Вендор выпустил обновление программы, добавив возможность обратной связи с разработчиками и возможность отказаться от отправки анонимизированной статистики.
По информации Google, за первый месяц после выпуска расширения оно проверило 21 млн пар логин-пароль. Каждый раз при вводе учетных данных плагин обращался к базе данных скомпрометированных учетных записей и, обнаружив совпадения, предупреждал пользователя об угрозе угона аккаунта. Как заявили разработчики, расширение Password Checkup пометило как ненадежные 315 тыс. паролей, что составляет около 1,5% от общего числа проверок.
Специалисты отмечают, что лишь 26% предупрежденных пользователей решили сменить пароль. При этом около 15% из них выбрали в качестве нового секретного ключа ненадежную последовательность символов, которую легко подобрать. К позитивным результатам работы плагина можно отнести тот факт, что более 60% новых паролей оказались устойчивыми к брутфорс-атакам.
Согласно анонимной статистике, собранной расширением Password Checkup, чаще всего пользователи используют слабые пароли на развлекательных сайтах — количество срабатываний плагина на таких ресурсах доходило до 6,3% от общего числа проверок. Для онлайн-магазинов этот показатель составил 1,2%, а для почтовых сервисов — всего полпроцента.
Google выпустила Password Checkup в феврале этого года. В его базе содержится информация о более чем 4 млрд скомпрометированных учетных записей. Для того чтобы не допустить утечки данных при передаче сведений об используемом пароле, создатели расширения применили многоэтапную технологию хэширования данных, созданную при содействии ученых Стэнфордского университета. В новой версии программы разработчики предоставили пользователю возможность отказаться от участия в сборе анонимной статистики, а также напрямую отправить сообщение в службу поддержки продукта.