Проверка паролей: Password Checkup от Google

Быстрая навигация

Проверить пароли с помощью расширения
Проверить все сохранённые пароли через веб-интерфейс
Альтернативы и рекомендации по безопасности

Логотип Google в виде буквы G

Когда использовать Password Checkup

Password Checkup полезен, если вы хотите быстро узнать, не присутствуют ли ваши текущие пароли в известных утечках данных. Инструмент особенно удобен пользователям, которые не используют сторонние менеджеры паролей или не применяют уникальные и сложные пароли для каждого сайта.

Важно: если вы используете фразу-пароль для шифрования паролей в аккаунте Google, онлайн-проверка будет недоступна до тех пор, пока вы не отключите эту фразу-пароль.

Как проверить пароли с помощью расширения

Если вы предпочитаете, чтобы проверка происходила автоматически при вводе пароля на сайтах, установите расширение Password Checkup в Chrome.

Откройте Chrome и перейдите в Chrome Web Store к странице расширения Password Checkup.
Нажмите кнопку «Добавить в Chrome» (Add to Chrome) чтобы начать установку.

Кнопка установки расширения «Добавить в Chrome» на странице магазина

Ознакомьтесь с разрешениями расширения и подтвердите установку нажатием «Добавить расширение» (Add Extension).

Окно с перечнем разрешений расширения и кнопкой подтверждения установки

После установки значок расширения появится на панели инструментов или в меню Chrome. По нажатию вы увидите статистику — сколько паролей было проанализировано за последнюю неделю.

Иконка расширения показывает количество проверенных паролей и состояние проверки

Примечание: существует скрытая опция в Chrome, которую можно включить для фоновой проверки утечек паролей. Эта опция выполняет похожую задачу и срабатывает автоматически в фоне, оповещая вас только при обнаружении проблем.

Скопируйте и вставьте следующий адрес в адресную строку Chrome:

chrome://flags/#password-leak-detection

Выберите «Enabled», затем перезапустите браузер кнопкой «Relaunch».

Флаг Chrome для включения фоновой проверки утечек паролей

Как проверить все сохранённые пароли через веб-интерфейс

Если вы хотите проверить все пароли, которые синхронизированы с вашим аккаунтом Google, используйте Google Password Manager в вебе.

Откройте Google Password Manager в браузере.
Нажмите кнопку «Проверить пароли» (Check Passwords) на главной странице менеджера.

Кнопка «Проверить пароли» на странице менеджера паролей Google

Если вы используете фразу-пароль для шифрования паролей в аккаунте, инструмент уведомит, что проверка недоступна, пока фраза-пароль включена.

Сообщение о необходимости отключить фразу-пароль, чтобы продолжить проверку

Нажмите «Проверить пароли» ещё раз, затем подтвердите свою личность вводом пароля от Google-аккаунта и нажатием «Далее» (Next).

Поле подтверждения пароля аккаунта Google перед началом проверки

После завершения проверки страница покажет, какие пароли скомпрометированы, повторяются или считаются слабыми.

Результат проверки: индикаторы безопасности паролей (компрометирован, повторное использование, слабый)

Если найдены проблемы, рядом появится предупреждение. Нажмите стрелку вниз в блоке предупреждения, затем — «Изменить пароль» (Change Password), чтобы перейти на страницу управления учётной записью соответствующего сайта и обновить пароль.

Проверка выявила предупреждение; кнопка «Изменить пароль» перенаправит вас на страницу сервиса

После изменения пароля убедитесь, что вы не используете ту же комбинацию для других сайтов, особенно если они не синхронизированы в вашем аккаунте Google.

Как это работает (коротко)

Password Checkup сравнивает ваши пароли с базой известных утечек. Инструмент хеширует пароль перед сравнением, чтобы не передавать его в открытом виде. Если совпадение обнаружено, вы получите предупреждение и рекомендации по смене пароля.

Ключевой принцип — обнаружение совпадений с утёкшими данными и уведомление пользователя, без раскрытия фактического незашифрованного пароля.

Когда Password Checkup не подойдёт

Вы используете фразу-пароль (шифрование паролей) в Google — онлайн-проверка будет недоступна.
Ваши пароли хранятся исключительно в локальном стороннем менеджере и не синхронизированы с Google.
Политики корпоративной безопасности запрещают внешние проверки учетных данных.

Важно: инструмент не заменяет менеджер паролей с функциями автозаполнения и генерацией сложных паролей; он дополняет их.

Альтернативные подходы

Сторонние менеджеры паролей (1Password, Bitwarden, LastPass) предоставляют встроенные проверки утечек и оценки сил пароля.
Сервисы мониторинга утечек (Have I Been Pwned) позволяют проверить адреса электронной почты и отдельные хеши паролей.
Принудительное двуфакторное подтверждение (2FA) для критичных сервисов снижает риск при компрометации пароля.

Чек-листы

Чек-лист для пользователя

Установить и включить Password Checkup или выполнить проверку в Google Password Manager.
Для каждого обнаруженного предупреждения выполнить смену пароля на уникальный и длинный.
Включить 2FA на ключевых сервисах (почта, банк, соцсети).
Не использовать одинаковые пароли для разных сайтов.
По возможности — перейти на менеджер паролей с генератором случайных паролей.

Чек-лист для администратора IT

Разработать политику: обязательная смена пароля после подтверждённой утечки.
Рекомендовать или предоставлять корпоративный менеджер паролей с централизованным управлением.
Настроить мониторинг компрометации учётных записей и процедуры реагирования.
Информировать сотрудников о phishing-рисках и правилах создания паролей.

Риски и смягчения

Риск: ложные срабатывания на старые утечки. Смягчение: проверять контекст и ссылку на источник утечки перед массовой сменой паролей.
Риск: недоступность проверки при включённом шифровании. Смягчение: оценить компромисс между дополнительной приватностью и удобством массовой проверки.
Риск: корпоративные ограничения на внешний трафик. Смягчение: использовать внутренние средства мониторинга и интеграцию с SIEM.

Шаблон действий при обнаружении скомпрометированного пароля

Немедленно смените пароль на уязвимом сайте на уникальный и длинный.
Включите 2FA на этом сайте, если доступно.
Проверьте, не используется ли тот же пароль на других сайтах; при необходимости смените и там.
Если это служебная учётная запись — уведомите службу поддержки безопасности организации.

Короткий шаблон письма для служебного уведомления:

«Обнаружена компрометация пароля для учётной записи [адрес/логин]. Пароль немедленно заменён. Пожалуйста, инициируйте дополнительную проверку активности и измените пароли для связанных сервисов.»

Конфиденциальность и соответствие требованиям

Password Checkup работает с хешами паролей, но конечная обработка и хранение данных происходит в экосистеме Google. Для организаций с особыми требованиями конфиденциальности следует оценить, соответствует ли такой подход внутренним политикам и местному законодательству (например, требованиям по защите персональных данных).

Важно: отключение синхронизации или шифрование с фразой-паролем изменяет поведение инструмента; документируйте эти решения в политике безопасности.

Критерии приёмки

Все обнаруженные скомпрометированные пароли заменены.
Для критичных сервисов включён 2FA.
Нет повторного использования паролей между критичными сервисами.

Короткая сводка

Если вы хотите быстро снизить риск, начните с проверки паролей в Google Password Manager и/или установки расширения Password Checkup в Chrome. Меняйте найденные уязвимые пароли, включайте 2FA и используйте менеджер паролей для генерации уникальных паролей.

Итог: Password Checkup — удобный инструмент для обнаружения потенциальных проблем с паролями, но он должен быть частью более широкой практики безопасности.