Google ha presentato una nuova estensione per Chrome chiamata Password Alert, progettata per servire come un sistema di preallarme contro gli attacchi di phishing agli account Google. L’estensione funziona confrontando una versione hash della password per qualsiasi stringa di caratteri di ingresso al browser. Se l’estensione rileva l’inserimento di una password di Google in un sito web non Google, reindirizzerà a una pagina di avviso, avvertendo che qualcosa è andato storto.
Poiché password Alert contiene solo la versione hash della password, è possibile eseguire il controllo senza esporre la password reale a qualsiasi rischio supplementare. Inoltre chi sfrutta un account Google di lavoro può anche rendere Password Alert obbligatorio per tutto il dominio di riferimento, così da inviare avvisi di sicurezza non solo ai dipendenti ma anche agli amministratori.
La più grande debolezza è che Password Alert può solo eseguire la scansione di una password che è stato inviata con successo, in modo che l’utente verrà avvisato solo dopo che un eventuale phishing ha avuto successo. Ciononostante anche un messaggio di avviso in ritardo darà agli utenti il tempo di cambiare la propria password e bloccare gli account; per gli utenti con l’autenticazione a due fattori, dovrebbe essere facile cambiare la password prima di essere attaccati.
Password Alert potrebbe anche rafforzare la sicurezza al di fuori degli account Google. L’estensione è costruita per l’integrazione con il sistema password di Google, ma il codice è open source, quindi dovrebbe essere facile adattare il codice ad altri sistemi.
