Dal 2017, Chrome protegge gli utenti dal phishing controllando che i siti in cui inseriscono le credenziali di Google non siano all’interno di un elenco di noti web di phishing.
Il mantenere aggiornata questa lista fa parte della sua iniziativa Safe Browsing. Google sincronizza il suo elenco di siti danneggiati ogni 30 minuti, ma poiché essi cambiano così rapidamente, gli utenti potrebbero cadere vittima di quelli compromessi solo pochi attimi prima.
Chrome 79, rilasciato la scorsa settimana, esegue la protezione da phishing in tempo reale, anche per gli utenti con la funzione di sincronizzazione disattivata. La società afferma che questo proteggerà gli utenti nel 30% in più dei casi. La protezione è stata estesa anche per includere tutte le password archiviate nel gestore delle password di Chrome anziché solo negli account Google. E’ possibile attivarlo abilitando l’opzione “Migliora le ricerche e la navigazione” in Chrome.
Il browser include anche altre protezioni. Da oggi potrà mostrare più chiaramente quale profilo si sta utilizzando, il che è utile per coloro che condividono un browser e utilizzano profili diversi. C’è anche una funzione che Google ha testato per mesi: un controllo integrato per le password compromesse durante gli accessi al sito.
La funzione ha fatto la sua apparizione come un’estensione di Chrome chiamata Password Checkup che avvisava gli utenti quando le loro credenziali di accesso erano state violate. Rilasciata a febbraio 2019, ha rilevato che l’1,5% di tutti gli accessi Web utilizzavano credenziali violate, secondo un sondaggio di Google pubblicato ad agosto di quest’anno. Questo ha fatto sì che Google inserisse la funzione direttamente nel gestore delle password di Chrome. Il servizio non confrontava ancora le tue credenziali con agli accessi compromessi ogni volta che accedevi a un sito Web. Invece, verificava periodicamente le password che avevi memorizzato nel servizio di gestione delle password per vedere se trovava una corrispondenza.
La versione di Password Checkup integrata in Chrome 79 va oltre. Ora esegue il controllo ogni volta che accedi a un sito. Google si sta adoperando per evitare qualsiasi ipotesi o sospetto di spionaggio dietro questa mossa, quindi è abbastanza intelligente nelle modalità di esecuzione del controllo. Vuole essere molto chiara sul fatto che non è in grado di vedere le tue credenziali di accesso.
Quando accedi a un sito Web, Chrome ora invia una copia con l’hash delle credenziali di accesso a Google. Un hash crea una stringa di testo univoca e riproducibile utilizzando qualsiasi dato tu gli dia, identificando i dati senza rivelarli. Questi ultimi vengono crittografati nel browser utilizzando una chiave di crittografia a cui solo tu hai accesso.
Google ha già utilizzato la propria chiave per crittografare l’elenco delle credenziali di accesso compromesse che ha scovato in varie fonti online. Fa la stessa cosa con le credenziali che Chrome gli invia, crittografandole una seconda volta.
Questa doppia crittografia fa parte di una tecnica chiamata “private set intersection with blinding”. Essa cerca di abbinare le credenziali di accesso immesse al database di Google di nomi utente e password compromessi.
Per la tua privacy, Google non esegue questa corrispondenza da solo. Al contrario, invia una piccola parte del suo database di credenziali crittografate su Chrome, insieme alle credenziali di accesso con doppia crittografia (che ricorderete ora sono state crittografate due volte). Chrome rimuove la crittografia applicata alle credenziali di accesso utilizzando la tua chiave, lasciando in posizione solo la crittografia di Google. Quindi cerca di abbinare quelle credenziali crittografate con hash al piccolo sottoinsieme del database che ha ricevuto da Google. Se ne trova una, le tue credenziali sono state violate.
Google sa quale piccolo sottoinsieme del database rispedire perché il browser crea anche un hash del nome utente che si è tentato di inserire nel sito Web. Invia parte di tale hash a Google insieme agli altri dati. Google utilizza lo snippet del tuo nome utente con hash per selezionare la parte del suo database incluso lo stesso snippet nell’indice.
È un sistema ingegnoso e fintanto che ritieni di poterti fidare della crittografia (e di Google), allora sembra un buon modo per automatizzare il rilevamento della password compromessa. Ti avvertirà che le tue credenziali sono state violate nel momento in cui cercherai di accedere al sito.
Come per tutte le violazioni della password, è necessario modificarla se Chrome rileva una corrispondenza e attivare l’autenticazione a più fattori se il sito compromesso la rende disponibile, per evitare un possibile attacco. Bisognerebbe anche evitare di riutilizzare le password su più siti in modo che gli aggressori non possano sbloccare gli altri account con una password compromessa. Il tutto può essere semplificato utilizzando un gestore di password con un generatore di password integrato.