“As senhas são uma das piores coisas da internet”, disse Mark Risher, diretor sênior de segurança, identidade e abuso de contas do Google ao The Verge . Embora sejam essenciais para a segurança e para ajudar as pessoas a fazer login em muitos aplicativos e sites, “elas são uma das principais formas, se não a principal, de as pessoas realmente ficarem comprometidas”.

É algo estranho para um executivo de segurança do Google dizer que, da última vez que você fez login no Gmail, você provavelmente digitou uma senha. Mas a empresa tenta afastar os usuários do modelo há anos, ou pelo menos minimizar os danos. E nas próximas semanas, uma das ferramentas mais silenciosas do Google nessa luta – o plug-in de verificação de senha – terá um perfil mais alto, pois se junta ao painel de verificação de segurança incorporado em todas as contas do Google.

Risher está certo em se preocupar. Embora você possa usar uma ferramenta como um gerenciador de senhas para ajudar a acompanhar seus logins, muitas pessoas acabam reutilizando senhas para muitas contas. Cinqüenta e dois por cento das pessoas reutilizam a mesma senha para várias contas, de acordo com os resultados de uma pesquisa publicada em fevereiro de 2019 pelo Google e pela empresa de pesquisas Harris. Treze por cento das pessoas reutilizam essa senha para todas as suas contas, segundo a pesquisa. E a Microsoft disse em 2019 que 44 milhões de contas da Microsoft usavam logins que vazaram online.

Embora a reutilização de senhas possa ser uma maneira de lembrar uma palavra, frase ou combinação complexa de letras, números e símbolos que você acha que ninguém jamais será capaz de adivinhar, a prática pode colocar suas informações pessoais em perigo. Se essa senha reutilizada for vazada como parte de uma violação de dados, os hackers poderão ter a chave para muitas de suas outras contas online – não importa quão complexa seja a frase.

“Sabemos de outras pesquisas que fizemos no passado que as pessoas que tiveram seus dados expostos por uma violação de dados têm 10 vezes mais chances de serem sequestradas do que uma pessoa que não foi exposta por uma dessas violações”, disse Kurt Thomas , um membro da equipe de pesquisa de segurança e anti-abuso do Google.

O Google tenta ajudar os usuários a criar melhores hábitos de senha há algum tempo, lenta mas seguramente. Por anos, a empresa oferece um gerenciador de senhas integrado nas Contas do Google no Chrome e Android que pode salvar suas senhas e preenchê-las automaticamente em sites e aplicativos, por exemplo. Porém, durante o ano passado, o Google também trabalhou para ajudar as pessoas a criar proativamente senhas melhores com a Verificação de senha. A ferramenta verifica logins em um banco de dados de 4 bilhões de credenciais vazadas, verificando se a senha que você está digitando corresponde a uma que já vazou.

Não é uma idéia nova, mas o Google está bem posicionado para oferecer algo como o Verificação de senha. A empresa tem acesso a bilhões de senhas e a escala para implementar o Verificação de senha para bilhões de usuários de uma maneira que se integra às ferramentas de segurança de contas nas quais muitas pessoas já confiam.

Descobrir como permitir que o Controle de senhas sinalize credenciais comprometidas de maneira a respeitar a privacidade era um problema técnico difícil que exigia um esforço conjunto do Google e Stanford. O desafio foi encontrar uma maneira de verificar automaticamente as credenciais de um usuário em um banco de dados de logins violados sem revelar essas informações ao Google ou conceder ao usuário acesso a todo o banco de dados, enquanto escalava essa solução para a enorme base de usuários do Google, disseram pesquisadores de ambas as organizações mim.

Para fazer isso, o Google armazena uma versão criptografada e com hash de todos os nomes de usuário e senhas conhecidos expostos por uma violação de dados. Sempre que você faz login em uma conta, o Google envia uma versão criptografada e com hash das suas informações de login nesse banco de dados. Dessa forma, o Google não pode ver sua senha e a lista de logons comprometidos conhecidos do Google. Se o Google detectar uma correspondência, o Google exibirá um alerta recomendando que você altere sua senha para esse site.

O Google obtém logins comprometidos de “várias fontes diferentes e parceiros confiáveis”, disse Thomas, incluindo fóruns clandestinos nos quais os despejos de senhas são compartilhados abertamente. “Temos uma política ética de que nunca pagaremos criminosos por dados roubados”, continuou ele. “Mas apenas em virtude de como esses mercados funcionam, muitas vezes [dados roubados] surgem e ficam disponíveis”. Usando pessoas que o Google tem nesses mercados, a empresa pode adquirir os dados, disse ele.

O exame de senha levou cerca de dois a três anos desde o início para ser exibido em muitos produtos do Google, de acordo com Thomas. Na mesma linha, o Google deseja receber um e-mail da Verificação de Segurança quando detectar que um login armazenado foi comprometido por uma violação de dados, que a empresa planeja lançar nos próximos meses. E ainda este ano, o Google pretende permitir que as pessoas usem o Verificação de senha no Chrome, mesmo que não estejam logadas em uma conta do Google.

O Google não é a única empresa a oferecer algum tipo de funcionalidade de verificação de senha. Gerenciador de senhas pagas 1Password recomenda a alteração de senhas fracas ou duplicadas e também oferece a Watchtower , que verifica seus logins no banco de dados de Eu já fui pwned de Troy Hunt, com mais de 9 bilhões de contas comprometidas e sinaliza quaisquer correspondências. E a Apple anunciou ontem que sua próxima versão do Safari terá uma ferramenta de monitoramento de senha que parece funcionar de maneira semelhante ao Password Checkup.

Mas o Google tem uma vantagem em ajudar as pessoas com suas senhas, graças à sua enorme escala. E ferramentas como a Verificação de senha e o gerenciador de senhas embutido alcançam um objetivo mais amplo de facilitar a segurança on-line para os usuários.

“O que eu gosto de segurança – e o que eu acho que o [Verificação de senha] é um bom exemplo – é ‘como você facilita para as pessoas comuns fazerem a coisa certa?’”, Disse o vice-presidente de engenharia de segurança do Google, Royal Hansen. The Verge . “Não se trata de alertá-lo com mais e mais problemas”, disse ele. “Trata-se de tornar mais fácil para você, francamente, o passo mais básico”.