Chrome su Android e iOS avvisa quando le password salvate sono compromesse

Chrome 86 rende anche più sicuro il riempimento automatico dei moduli di accesso su iOS e introduce gli avvisi di contenuti misti e il blocco del download non sicuri in pagine protette.

Scritto da

Simone Ziggiotto

il

Tanti sono i servizi che utilizziamo quotidianamente online per l’accesso a diversi servizi, più o meno importanti in termini di quantità di informazioni personali che gestiscono. La sicurezza delle password per l’accesso a questi servizi, quindi, è fondamentale. Da qualche mese, Google ha introdotto nel suo browser web Chrome uno strumento (il "Controllo della sicurezza" o Safety Ceck) che controlla se le password che salviamo nel browser per poter accedere ai servizi online rapidamente sono state compromesse e, in tal caso, ci guida a come risolvere il problema. Ora, questo stesso strumento arriva anche in Chrome su Android e iOS, per migliorare la sicurezza delle password anche sui dispositivi mobile.

Come funziona il "Controllo della sicurezza" / Safety Ceck di Chrome.
Per verificare se si utilizzano password compromesse per accedere ai servizi online (ad esempio per l’accesso al Fai da te di sky.it, ad amazon.it, a facebook.com, a tim.it, o al sito web della propria banca), Chrome invia una copia dei nomi utente e password salvati a Google utilizzando uno speciale metodo di crittografia per confrontarli con elenchi di credenziali note per essere state compromesse (ad esempio in seguito ad un attacco hacker verso un sito web). Google garantisce che elabora i dati crittografati, che non può vedere il nome utente o la password delle copie crittografate ricevute. Lo strumento quindi ci informa quando rileva che stiamo utilizzando una combinazione di username/password compromessa, invitandoci ad accedere al servizio online relativo per modificare la password con una nuova.

In alcuni casi, lo strumento sarà presto in grado – in Chrome per desktop, iOS e Android – di indirizzarci direttamente al modulo di "modifica password" corretto dopo essere stati avvisati che la password in uso è stata compromessa.

Esempio di notifica dal Safety Ceck di Chrome

"Chrome sta portando il controllo di sicurezza sui dispositivi mobili" ha annunciato AbdelKarim Mardini, Senior Product Manager di Chrome. "Nella nostra prossima versione, lanceremo Controllo di sicurezza su iOS e Android, che include il controllo delle password compromesse, che ti dice se la Navigazione sicura è abilitata e se la versione di Chrome che stai utilizzando è aggiornata con le ultime protezioni di sicurezza. Potrai anche utilizzare Chrome su iOS per compilare automaticamente i dettagli di accesso salvati in altre app o browser".

In Chrome 86, Google ha anche previsto l’introduzione di una serie di funzionalità aggiuntive per migliorare la sicurezza degli utenti. Vediamo quali.

Navigazione sicura migliorata per Android
All’inizio di quest’anno, Google ha lanciato la Navigazione Sicura Avanzata (Enhanced Safe Browsing) su desktop, con protezioni avanzate per proteggere da phishing, malware e altre minacce basate sul web. Se si attiva la Navigazione Sicura Avanzata, Chrome verifica in modo proattivo se le pagine e i download sono pericolosi inviando informazioni su di essi a Google. Se si ha eseguito l’accesso a Chrome, Chrome e altre app Google che si utilizzano (Gmail, Drive, ecc.) proteggeranno ulteriormente in base ad una "visione olistica" delle minacce che si incontrano sul web e degli attacchi al proprio account Google. Nel corso del prossimo anno verranno aggiunte ancora più protezioni a questa modalità, inclusi avvisi personalizzati per evitare siti di phishing e download di file dannosi con avvisi tra i vari prodotti Google. In arrivo ci sono ancora più protezioni a questa modalità. Tra gli utenti che hanno finora abilitato il controllo di siti Web e download in tempo reale, le protezioni predittive di phishing hanno registrato un calo di circa il 20% degli utenti che digitano le proprie password nei siti di phishing.

Enhanced Safe Browsing in Chrome

Miglioramenti al riempimento della password su iOS
Recentemente, Google ha lanciato la funzione Touch-to-fill ("tocca-per-riempire") per le password su Android per prevenire attacchi di phishing. Per migliorare la sicurezza anche su iOS, viene anche qui introdotto un passaggio di autenticazione biometrica prima del riempimento automatico delle password. Su iOS, gli utenti potranno eseguire l’autenticazione utilizzando Face ID, Touch ID o il passcode del proprio telefono. Inoltre, Chrome Password Manager consentirà di compilare automaticamente le password salvate nelle app o nei browser per iOS se viene abilitato il ​​riempimento automatico in Chrome nelle Impostazioni.

Il riempimento automatico in Chrome su IOS previa autenticazione biometrica

Avvisi di contenuti misti e blocco del download non sicuri
Da diversi mesi ormai, Chrome segnala le pagine web che non sono protette, che non hanno un indirizzo che inizia con HTTPS o non hanno un certificato di sicurezza valido. Tuttavia, le pagine HTTPS protette a volte possono ancora non essere completamente sicure. All’inizio di quest’anno, Chrome ha iniziato a bloccare i cosiddetti "contenuti misti", ossia quando le pagine protette contengono contenuti non protetti (ad esempio: il sito web è in ‘https’ ma contiene immagini da un indirizzo in ‘http’). Ci sono però anche altri modi in cui le pagine HTTPS possono mettere a rischio la sicurezza per gli utenti, come la presenza di link verso pagine non protette o l’utilizzo di moduli che non inviano i dati in modo sicuro. Per proteggere gli utenti anche da queste minacce, Chrome 86 introduce avvisi di moduli misti su desktop e Android per avvisare gli utenti prima che possano inviare informazioni tramite un modulo non protetto incorporato in una pagina HTTPS. Inoltre, Chrome 86 inizia a bloccare o segnalare i download non sicuri avviati da pagine protette: inizialmente, questa modifica riguarda i tipi di file comunemente utilizzati in modo improprio, ma più avanti le pagine protette saranno in grado di avviare solo download protetti per qualsiasi tipo di file. 

Impostazioni privacy