A dicembre Chrome avrà un tool integrato di controllo password

Google prevede di aggiungere a Chrome 79 (atteso a dicembre) un sistema di alert per le password compromesse entro la fine dell'anno, mentre Firefox punta a fare più o meno la stessa cosa già questo mese.

password

Google ha lanciato un controllore di password hackerate basato sul web come parte dei suoi sforzi per inserire un sistema di alert in Chrome. Chiamato Password Checker, il servizio esamina le combinazioni nome utente-password memorizzate nel gestore password di Chrome e riporta le coppie di autenticazioni che sono state esposte in violazioni di dati note pubblicamente.

La versione web è disponibile su passwords.google.com, il sito ombrello per gli utenti di Chrome che eseguono il browser dopo aver effettuato l’accesso con il proprio account Google, quindi lo utilizzano per sincronizzare i dati, comprese le password, tra copie di Chrome su dispositivi diversi .

Dopo aver richiesto un controllo della password, Google restituisce i risultati a Chrome organizzati in elenchi di account che si basano su coppie nome utente-password già compromesse, account per i quali l’utente ha riutilizzato una password (qualcosa di solito disapprovato dagli esperti di sicurezza) e account che fanno affidamento su password deboli.

Al momento, non c’è niente di integrato in Chrome, almeno per quanto riguarda la versione più stabile più rifinita; è stata infatti lanciata solo la dashboard esterna web-based. Ma come ha detto la stessa Google il mese scorso quando ha rilasciato Chrome 77, c’è in programma di inserire nel browser un sistema di avviso per le password compromesse. I dettagli allora erano assenti, sebbene l’intento fosse chiaro: Chrome avrebbe avuto qualcosa di simile a quello che Mozilla presenterà in anteprima fra tre settimane quando sarà distribuito la prossima release di Firefox.

Attualmente, la versione Windows di Chrome 78 Beta (quella subito prima della release stabile), nonché la meno affidabile di Chrome 79 Canary per Windows e macOS integrano il nuovo sistema di controllo password, che per ora è stato nascosto dietro un’impostazione su una schermata di opzioni semi-segrete. Per attivarlo, bisogna digitare chrome: // flags nella barra degli indirizzi, digitare le password nel campo di ricerca, individuare la voce Password Leak Detection e, a destra, selezionare Enabled dall’elenco a discesa. Infine, bisogna riavviare Chrome.

Per verificare che il sistema di alert sia attivo, bisogna selezionare Impostazioni dal menu principale (sotto i puntini di sospensione verticali a destra), selezionare Password in Riempimento automatico e cercare l’elemento Controlla la sicurezza della password. L’interruttore a destra dovrebbe essere in posizione ON.

Quando l’utente immette una username e una password che sono violate, Chrome dovrebbe far apparire un avviso che la password deve essere modificata. Nelle nostre prove, tuttavia, l’avviso non sempre funzionava. Un sito web la cui password era stata segnalata in una violazione non visualizzava l’avviso, mentre diversi altri siti, alcuni dei quali utilizzano la stessa coppia nome utente e password, hanno generato un avviso sullo schermo. Quando viene visualizzato, l’avviso contiene un pulsante Check Password. Premetelo e il browser aprirà il controllo della password online ora in funzione.

Il mese scorso Google aveva annunciato l’inclusione dell’avviso delle password compromesse in Chrome 78, previsto per il 22 ottobre. Alcuni giorni fa però, in una delle numerose segnalazioni di bug di Chromium dedicate allo sviluppo dell’alert per le password, la funzione è stata descritta come presente in Chrome 79, l’ultimo aggiornamento dell’anno previsto per il 10 dicembre.

Se però Mozilla seguirà fedelmente la sua roadmap già impostata, Firefox avrà un sistema di alert per le password compromesse prima di Chrome. Firefox 70, il cui rilascio è previsto per il 22 ottobre, integrerà due funzioni precedentemente separate: Firefox Monitor, un servizio di password alert, e il gestore password Lockwise, che completerà una serie di attività tra cui l’identificazione di account “vittimizzati”.

Firefox Monitor, che Mozilla ha introdotto a novembre 2018, fa affidamento su una partnership con il noto sito web Have I Been Pwned?. La fonte delle informazioni utilizzata da Google non è invece ancora chiara. Non sorprende infine, data l’enfasi di Google sulla gestione aziendale negli ultimi tempi, che una policy di gruppo (PasswordLeakDetectionEnabled) sarà disponibile al lancio per gli amministratori IT. I dettagli delle impostazioni di questa policy sono disponibili qui.