Vanliga frågor om förebyggande av nätfiske med lösenordsavisering

Vad är lösenordsavisering?

Password Alert är ett Chrome-tillägg som hjälper Google Workspace- och Cloud Identity-användare att undvika nätfiskeattacker genom att upptäcka när de anger sitt Google-lösenord på andra webbplatser än Googles inloggningssida .

Administratörer kan också driftsätta lösenordsvarningsservern för att aktivera granskning av lösenordsvarningar, skicka e-postvarningar och tvinga användare att ändra sitt Google-lösenord om de anger det på en webbplats som inte är betrodd.

Vad är Chromes lösenordsvarningspolicy och hur skiljer den sig?

Du kan få många av funktionerna i Password Alert Chrome-tillägget via Chrome Password Alert Policy . Den är implementerad direkt i Chrome och möjliggör enhetlig policyimplementering och rapportering på alla plattformar som stöder Chrome.

Din organisation behöver inte Google Workspace eller Cloud Identity för att använda Chrome Password Alert Policy. För närvarande har Chrome Password Alert Policy ingen Password Alert-server för granskning och kontroller av varningar.

Du och dina användare kan få två uppsättningar aviseringar om ni konfigurerar både Chrome-tillägget och Chrome Password Alert Policy. Stäng av tillägget för att undvika dubbla aviseringar.

Kan jag återanvända lösenordet för mitt hanterade Google-konto för andra konton?

Nej. Om du anger lösenordet för ditt hanterade Google-konto (till exempel Google Workspace eller Cloud Identity) på en webbplats som inte tillhör Google utlöses lösenordsaviseringen. Du får en avisering varje gång du använder lösenordet för andra konton för första gången. Du kan välja mellan att återställa lösenordet eller ignorera aviseringen för det specifika kontot.

Gmail-användare har möjlighet att stänga av alla aviseringar på en webbplats. Om du använder samma lösenord på flera konton och ett av kontona är komprometterat, försöker angripare ofta använda lösenordet för dina andra konton för att få åtkomst med återanvända inloggningsuppgifter.

Vad händer om jag inte använder Chrome?

Password Alert är för Google Workspace- och Cloud Identity-användare och fungerar för närvarande bara som ett Chrome-tillägg i Chrome-webbläsaren. Som administratör kan du distribuera Password Alert över dina domäner med hjälp av Chrome-policyer och konfigurera en Google App Engine-instans för att övervaka aviseringar över dina domäner. Om du använder äldre webbläsare kanske du vill utforska Chromes stöd för äldre webbläsare .

Fungerar Lösenordsavisering med multiinloggning?

Password Alert använder den aktiva Chrome-profilen för att avgöra vilket konto som skyddas, så om du vill installera Password Alert för flera Google-konton bör du använda flera Chrome-profiler .

När träder Lösenordsaviseringen i kraft?

När du har installerat tillägget börjar Password Alert fungera nästa gång du loggar in på accounts.google.com. Javascript måste vara aktiverat och användare med hanterade Google-konton måste vara inloggade i Chrome.

Hur känner Password Alert till ditt lösenord?

Varje gång du loggar in på ditt Google-konto har Password Alert tillfällig åtkomst till ditt korrekta lösenord och sparar en saltad miniatyrbild av ditt lösenord i Chromes lokala lagring. Den jämför sedan denna miniatyrbild med varje lösenord du anger på någon annan webbplats än accounts.google.com (eller, för Google Cloud-domäner, webbplatser som administratören har lagt till på en godkännandelista).

Vilka andra verktyg kan jag använda för att skydda mitt lösenord?

För Gmail-användare är en FIDO Universal 2nd Factor (U2F) säkerhetsnyckel ett mycket användbart verktyg för att förhindra lösenordsfiske.

Hur skiljer sig Lösenordsskydd från Chromes inbyggda funktioner för säker surfning?

Chrome försöker upptäcka nätfiskesidor i förväg, men det kan finnas fall där den missar en inloggningssida för bedragare. Password Alert bör upptäcka varje gång du anger ditt lösenord på en annan webbplats än accounts.google.com (eller, för Google Cloud-domäner, webbplatser som administratören har lagt till på en godkännandelista).

Stöder Password Alert Google-lösenord med färre än 8 tecken?

Nej, Lösenordsskydd kräver att lösenorden har minst 8 tecken. Du måste ändra alla äldre Google-lösenord som har färre än 8 tecken.

Är Password Alert en tangenttryckningsloggare?

Nej. Password Alert sparar inte tangenttryckningar på disken och skickar inga tangenttryckningar till något fjärrsystem.

Krävs appen Password Alert för Google Cloud-kunder?

Nej, appen Lösenordslarm krävs bara för granskning av varningar, för att skicka e-postvarningar och för att tvinga användaren att ändra sitt Google-lösenord om de anger det på en webbplats som inte är betrodd.

Jag har konfigurerat Lösenordsavisering för att skicka rapporter till min Lösenordsavisering-applikation. Varför får mina användare inte längre bannermeddelanden?

När du har konfigurerat Lösenordslarm för att skicka rapporter till programmet skickas eventuella aviseringar endast till säkerhetsgruppen och/eller användaren via e-post. Se avsnittet Tillämpning i Lösenordslarmets programkonfigurationsfil för mer information.

Vad är skillnaden mellan Password Alert-appen och App Engine-instansen?

Lösenordsaviseringsappen hanteras av Google medan App Engine-instansen hanteras av ditt team.

Vad är skillnaden mellan att stänga av ljudet och att tillåta värdstatusen i administratörskonsolen?

Tillåtet – Varnar inte säkerhetspersonalen eller löper ut användarens lösenord. Du använder det här tillståndet för att lägga till en värd på en tillåtelselista för återanvändning av lösenord.

Ljud av – Aviserar inte säkerhetspersonalen, men gör att användarens lösenord upphör att gälla. Normalt sett tystar du värdnamn när återanvändning av lösenord upptäcks på en legitim webbplats (till exempel login.yahoo.com).

Okänt — Varnar säkerhetspersonalen och utgångar användarens lösenord. Detta är standardläget för alla värdar, förutom accounts.google.com och SSO-URL:en som definieras i managed_policy_values.txt (SSO_URL).