Google voert strijd tegen slecht wachtwoordgebruik op

Hoewel Password Checkup al een jaar beschikbaar is, krijgt het de komende maanden een prominentere rol in de Chrome-browser, vertelt Kurt Thomas van Googles anti-abuse and security research-team aan The Verge. Password Checkup controleert elk ingetypt wachtwoord in een geactualiseerde database van zo'n 4 miljard wachtwoorden waarvan bekend is dat ze zijn misbruikt, ofwel omdat ze makkelijk te raden zijn ofwel omdat ze bijvoorbeeld via een datalek openbaar zijn gemaakt.

De technische uitdaging waar Google voor stond was ingetypte inloggegevens te controleren zonder dat deze op enige manier herleidbaar zouden zijn en daarmee een nieuw beveiligingsprobleem zouden creëren. Andersom moet de gebruiker ook geen toegang krijgen tot de gehele inhoud van de database met gecompromitteerde inloggegevens. Dat geheel moet ook nog eens zo goed schalen dat het werkt met de enorme gebruikersaantallen die Google ermee wil bedienen. Het is een puzzel die Google uiteindelijk met hulp van Stanford University heeft opgelost.

Uitwisseling verhaspelde gegevens

Wanneer op een website inloggegevens worden ingevoerd, maakt Password Checkup er een gehashte versie van die versleuteld wordt verstuurd naar een clouddienst. Die vergelijkt de hash met die van de slechte wachtwoorden in de database. Is er een overeenkomst, dan stuurt Password Checkup een waarschuwing dat het wachtwoord onveilig is. Het advies is dan het wachtwoord te veranderen. Op die manier wordt er in geen van beide richtingen herleidbare informatie gedeeld.

Password Checkup is al een tijdje beschikbaar als een extensie in Chrome en in oktober vorig jaar is het gereedschap ook onderdeel van Google Accounts geworden. Sinds december is het een vast onderdeel van Chrome dat kan worden geactiveerd in de privacy and security-instellingen van het Google-account. Dit jaar wil Google Password Checkup in Chrome beschikbaar maken ook als geen gebruik wordt gemaakt van een Google Account. Het bedrijf verwacht daarmee op een heel laagdrempelige manier miljoenen mensen te kunnen overtuigen betere wachtwoorden te gebruiken.