Google Chrome, un add-on ci avvisa nel caso di password scoperte

Tra febbraio e marzo di quest’anno, dopo che Google ha rilasciato un’estensione di Chrome chiamata Password Checkup per verificare se le combinazioni di nome utente e password delle persone erano state rubate e trapelate dai database dei siti Web, gli informatici della biz e della Stanford University hanno raccolto telemetria anonima da 670.000 persone che hanno installato il add-on.

Venerdì, divese aziende hanno presentato un articolo descrivendo i risultati della loro raccolta di dati alla conferenza USENIX sulla sicurezza. Il documento [PDF], intitolato “Proteggere gli account dal riempimento di credenziali con avvisi di violazione della password”, rivela che circa l’1,5% degli accessi sul Web riguarda credenziali che sono state esposte online.

L’add-on di Google Chrome che avvisa se sono state violate password

“Durante questa finestra di misurazione, abbiamo rilevato che l’1,5 per cento di oltre 21 milioni di accessi erano vulnerabili a causa di una credenziale violata o di un avviso per ogni due utenti”, afferma il documento, rilevando che la cifra è significativamente inferiore a un 2017 studio in cui il tasso era del 6,9 per cento.

Per il periodo di 28 giorni, 316.531 accessi hanno coinvolto credenziali trapelate. Gli avvisi inviati agli utenti sono stati quindi ignorati circa un quarto del tempo (26 per cento); queste notifiche hanno comportato anche la reimpostazione della password circa il 26% delle volte.

I ricercatori suggeriscono tre possibili spiegazioni: che gli utenti potrebbero non credere che il rischio valga la pena adottare una nuova password; che gli utenti potrebbero non avere il pieno controllo dell’account (ad esempio un account familiare condiviso); o che non ci sono indicazioni sufficienti su come reimpostare una password.

Nonostante il fatto che i loro consigli sulla sicurezza possano essere ignorati, concludono: “I nostri risultati evidenziano come la diffusione di informazioni di sicurezza attuabili può aiutare a mitigare il rischio di dirottamento dell’account”.

Il rischio a cui allude il titolo del documento è il riempimento delle credenziali, che comporta la raccolta di set di credenziali esposte facilmente ottenibili – nomi utente e password raccolti da siti Web specifici – e l’elaborazione di codice che tenta di utilizzare tali credenziali su un numero enorme di altri siti Web , nella speranza di trovare dettagli di accesso che sono stati riutilizzati.

Gli attacchi di riempimento delle credenziali sono diventati popolari perché ci sono così tanti account compromessi disponibili nei database online – 25 miliardi di coppie di nome utente e password, secondo il gigante dell’impianto idraulico di Akamai.

Il biz all’inizio di quest’anno ha dichiarato nel suo rapporto sull’argomento che c’erano centinaia di milioni di attacchi di ripieno di credenziali effettuati ogni giorno nel 2018, con un picco di tre giorni di 250 milioni di tentativi di accesso alla forza bruta.

Le teste di uovo di Google e Stanford hanno scoperto che gli utenti dell’estensione Password Checkup hanno riutilizzato le credenziali compromesse in oltre 746.000 domini. “Il rischio di dirottamento era maggiore per lo streaming video e i siti per adulti, dove il 3,6–6,3 per cento degli accessi si basava su credenziali violate”, afferma il loro documento.

Google sembra essere convinto che avere Chrome controlla le password trapelate andrebbe a beneficio di tutti coloro che utilizzano il browser. Un rapporto sui bug di Chromium suggerisce che la funzionalità verrà integrata in un aggiornamento futuro