В Microsoft Edge 88 внедрят предупреждения об «утёкших» паролях

    image

    Microsoft введет в новой версии браузера Edge в январе 2021 года функцию проверки паролей. Браузер сообщит пользователю, если его данные оказались в утёкших базах. Ему придет соответствующее уведомление о необходимости сменить свой пароль.

    Браузер начнет предлагать надёжные пароли. Для этого они должны быть синхронизированы с учетной записью Microsoft. Уведомления о попытках взлома будут приходить в режиме реального времени.

    image

    В Edge 88 внедрят улучшенный механизм защиты от спама. Нынешняя защита может работать неправильно и блокировать доступ к некоторым URL-адресам, отметил Эрик Лоуренс из Microsoft.

    Кроме того, в новой версии Edge появится навигация по вертикальным вкладкам и расширенная функциональность для работы с PDF-файлами.

    В декабре исследователи Avast заявили, что они обнаружили 28 вредоносных расширений для браузеров Google Chrome и Microsoft Edge. Как правило, это приложения для загрузки изображений, видео или другого контента с популярных сайтов, включая Facebook, Instagram, Vimeo и Spotify.

    Исследователи обнаружили вредоносный код в расширениях на основе JavaScript, который позволяет загружать программы на зараженный компьютер. В отчете Avast говорится, что пользователи также жаловались на манипулирование их действиями в Интернете и перенаправление на сторонние веб-сайты.

    В Microsoft же сообщили о массовой кампании по распространению вредоносного ПО, которое добавляет зловредную рекламу и крадёт учётные данные из браузеров, в том числе и Edge.

    Комментарии 26

      +7
      Браузер сообщит пользователю, если его данные оказались в утёкших базах.

      … а уникальный пароль пополнит их базы? Ну, допустим хеш уникального пароля, но все же.
        0
        если пароль где-то хранится, значит кто-то его может посмотреть
          0
          А существует только одна разновидность хэша? А соль?
            0
            А существует только одна разновидность хэша? А соль?

            Безусловно с солью, но все же… Браузер же не будет скачивать локально базу украденных паролей? Ладно, хешей украденных паролей.

            Более правильный вариант, имхо — это делать локальную базу хешей используемых паролей, солить (еще и привязывать к uid) и просто кричать алерт «Этот пароль вы уже использовали». Остальное от лукавого.
              0
              Безусловно с солью, но все же… Браузер же не будет скачивать локально базу украденных паролей? Ладно, хешей украденных паролей.
              Нет, почитайте про k-анонимность.
            0
            Если Google так уже делает, то это нормально. А если Microsoft, то это уже подозрительно?
            +4
            То, что сделали в Firefox 100500 лет назад
              +1
              Chrome давно так умеет
              скрин
              image
                –4
                А откуда у Майкрософта информация о том, какие пароли утекли?)
                Небось сами и воруют их))
                  0
                  «Для нужд нашей организации мы создали новый разум, в основе которого лежат электронные технологии. Только не подумайте, что я путаю физику с метафизикой или заговариваюсь, насмотревшись футурологокибернетических зрелищ StarTrek. Нет, я говорю о вещах реальных и важных, просто они новы и, может быть, поэтому непривычны. Для успешной работы в электронную эру Мы специально разработали новую электронную инфраструктуру. Она похожа на нервную систему человека. Реальная нервная система приводит в действие ваши рефлексы… и блокирует поступление несущественной информации… » Билл Гейтс «Бизнес со скоростью мысли»

                  Скорей всего, используется некий дамп памяти, куда кладутся все пароли. А какой-то «спящий процесс» проверяет пути обращения к стеку (типа — локальный и сетевой). Так что в принципе, Microsoft изначально знает адрес ко всем паролям. Учитывая выше сказанное, «ИИ» M$ может сверять свои базы с общедоступными данными, типа haveibeenpwned…
                  0
                  Интересно только, оно будет работать нормально, или как у Хрома? А то прямо цирк был, как он меня пытался убедить, что месяц назад утекли мои учётные данные от нескольких тестовых серверов, половина из которых уже год-два как отключены, а вторая половина вообще была на локалхосте, и единственное место, где в принципе хранились эти пароли — это сам Хром.
                    0
                    что месяц назад утекли мои учётные данные от нескольких тестовых серверов
                    Почему именно ваши? Словарь с паролями ведь общий на весь мир.
                      0

                      Ну все в целом правильно — как только в хром ввел пароль — хопа он и утек автоматом :)

                        0
                        Так он же не знает про эти сервера: он видит, что у него пароль утекший сохранен, ну и сигнализирует, так сказать.
                          0

                          Какая вероятность, что где-то совпадет сгенерированный пароль?


                          Хотя, если там был password123 — ясно что утек… :)

                            0
                            Да там ж просто поиск по базе — откуда взялся тот пароль, он не знает.
                          0
                          Chrome пишет, что утёк конкретный пароль, а не то, что он утёк с локалхоста.
                            0
                            Ну да, только утекать ему больше неоткуда. А с учётом, что виртуалки уже 2 года как нет, то и вообще неоткуда.

                            Chrome скорее всего проверяет не по хешу от пары логин-пароль, а по хешу только от пароля. И получается, если в очередной утёкшей базе на 100 млн. записей хоть у кого-то пароль совпал с одним из ваших, вам будут настойчиво напоминать, что ВАШ пароль скомпрометирован и его надо срочно поменять.
                              0
                              Конечно, он только пароль проверяет. Я об этом как раз.
                              Если я сделал себе пароль «password123», то это не делает пароль уникальным. Если с какого-то там vk.com утекли аккаунты, на которых был такой пароль, то этот пароль будет утёкшим.
                              Не обязательно он ушёл с локалхоста, он мог уйти у кого угодно. Пароли ведь не уникальны.
                              Это используется для перебора паролей по словарю, что сильно сокращает поиск. Об этом Chrome и предупреждает. Нет смысла проверять связку логин-пароль, лучше проверять только пароль.
                                0
                                ну, перебор по словарю нормальные люди тоже пресекают — пять раз неправильно ввеел — решай капчу, десять — иди гуляй полчаса.

                                Хоть упереберайся…

                                А вот то, что при этом твой пароль куда-то уехал при проверке(причем совершенно, в случае эджа, непонятно в каком виде) — вот это уже печально.
                                  0
                                  В таких случаях капчу хорошо использовать для блокировки чужих аккаунтов. Не все так делают по этой причине.

                                  Уехал хеш, а не сам пароль. В Chrome ведь уезжает и проблем ни у кого нет.
                                    0
                                    каким алгоритмом хэш? кто может поручится, что в каких логах он не хранится? Edge — пропиетарный браузер, кто поручится что там уезжает таки хэш, а не какой ксор, потому что джун так понял задачу продукт манагера?

                                    Очень много вопросов, особенно у людей, которые, например, используют уникальные рандомные пароли на каждый сервис.

                                    Хотя чего это я…
                          0
                          Наш пароль.
                            0
                            Браузер сообщит пользователю, если его данные оказались в утёкших базах.
                            — Как это понимать? Откуда и какие «утёкшие базы» могут быть у браузера или Microsoft?
                              0

                              M$ спонсирует хакеров, покупая базы на чёрном рынке.
                              /sarcasm
                              Надеюсь что используются общедоступные данные. Например haveibeenpwned

                                0
                                Да, но ведь для проверки пароля в той же haveibeenpwned, нужно знать пароль…

                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                            Самое читаемое