Google ajoute sa fonction de vérification des mots de passe à Android, faisant du système d’exploitation mobile la dernière offre de la société pour donner aux utilisateurs un moyen facile de vérifier si les codes d’accès qu’ils utilisent ont été compromis.
Password Checkup fonctionne en vérifiant les informations d’identification entrées dans les applications par rapport à une liste de milliards d’informations d’identification compromises dans les innombrables violations de sites Web qui se sont produites ces dernières années. En cas de correspondance, les utilisateurs reçoivent une alerte, ainsi qu’une invite qui peut les diriger vers la page du gestionnaire de mots de passe de Google, qui offre un moyen de vérifier la sécurité de toutes les informations d’identification enregistrées.
Les alertes ressemblent à ceci:
Google a introduit la vérification des mots de passe début 2019, sous la forme d’une extension Chrome. En octobre de cette année-là, la fonctionnalité a fait son entrée dans Google Password Manager, un tableau de bord qui examine les mots de passe Web enregistrés dans Chrome et synchronisés à l’aide d’un compte Google. Deux mois plus tard, la société l’a ajouté à Chrome.
Le gestionnaire de mots de passe de Google permet aux utilisateurs de visiter directement des sites utilisant des mots de passe incorrects en cliquant sur le bouton “Modifier le mot de passe” affiché à côté de chaque mot de passe compromis ou faible. Le gestionnaire de mots de passe est accessible à partir de n’importe quel navigateur, mais il ne fonctionne que lorsque les utilisateurs synchronisent les informations d’identification à l’aide du mot de passe de leur compte Google, plutôt que d’un mot de passe autonome facultatif.
La nouvelle vérification des mots de passe était disponible mardi sur Android 9 et supérieur pour les utilisateurs de la saisie automatique avec Android, une fonctionnalité qui ajoute automatiquement des mots de passe, des adresses, des détails de paiement et d’autres informations couramment saisies dans les formulaires Web et d’application.
La structure de remplissage automatique Android utilise un cryptage avancé pour garantir que les mots de passe et autres informations ne sont disponibles que pour les utilisateurs autorisés. Google n’a accès aux identifiants de l’utilisateur que lorsque les utilisateurs 1) ont déjà enregistré un identifiant dans leur compte Google et 2) se sont vu proposer d’enregistrer un nouveau identifiant par le système d’exploitation Android et ont choisi de l’enregistrer dans leur compte.
Lorsqu’un utilisateur interagit avec un mot de passe en le remplissant dans un formulaire ou en l’enregistrant pour la première fois, Google utilise le même cryptage qui alimente la vérification de la confidentialité dans Chrome pour vérifier si les informations d’identification font partie d’une liste de mots de passe compromis connus. L’interface de l’application Web envoie uniquement les mots de passe qui sont hachés de manière cryptographique à l’aide de la fonction Argon2 pour créer une clé de recherche chiffrée avec la cryptographie Elliptic Curve.
Dans un article publié mardi, Google a déclaré que la mise en œuvre garantissait que:
- Seul un hachage chiffré des informations d’identification quitte le périphérique (les deux premiers octets du hachage sont envoyés non chiffrés pour partitionner la base de données)
- Le serveur renvoie une liste de hachages chiffrés des informations d’identification brisées connues qui partagent le même préfixe
- La détermination réelle du fait que les informations d’identification ont été violées se produit localement sur l’appareil de l’utilisateur
- Le serveur (Google) n’a pas accès au hachage non chiffré du mot de passe de l’utilisateur et le client (utilisateur) n’a pas accès à la liste des hachages non chiffrés des informations d’identification potentiellement violées
Google a écrit plus sur le fonctionnement de la mise en œuvre ici.
Sur la plupart des appareils Android, la saisie automatique peut être activée par:
- Paramètres d’ouverture
- Système de tapotement> Langues et saisie> Avancé
- Appuyer sur le service de saisie automatique
- Appuyez sur Google pour vous assurer que le paramètre est activé
Par ailleurs, Google a rappelé mardi aux utilisateurs deux autres fonctionnalités de sécurité ajoutées à la saisie automatique d’Android en septembre dernier. Le premier est un générateur de mot de passe qui choisira automatiquement un mot de passe fort et unique et l’enregistrera dans les comptes Google des utilisateurs. Le générateur est accessible en appuyant longuement sur le champ du mot de passe et en sélectionnant Saisie automatique dans le menu contextuel.
Les utilisateurs peuvent également configurer le remplissage automatique d’Android pour exiger une authentification biométrique avant d’ajouter des informations d’identification ou des informations de paiement à une application ou un champ Web. L’authentification biométrique peut être activée à l’intérieur de la saisie automatique avec les paramètres Google.
