Vanliga frågor om förebyggande av nätfiske med Lösenordsskyddet

Nedan finns vanliga frågor och svar om tillägget Lösenordsskyddet, som används för att förebygga nätfiskeattacker. Instruktioner om hur du installerar Lösenordsskyddet finns i Förhindra nätfiskeattacker mot dina användare eller Förhindra nätfiske med Lösenordsskyddet.

Vad är Lösenordsskyddet?

Lösenordsskyddet är ett Chrome-tillägg som hjälper G Suite- och Cloud Identity-användare att undvika nätfiskeattacker genom att identifiera om de anger sina Google-lösenord på andra webbplatser än inloggningssidan för Google.

Administratörer kan även implementera Password Alert Server om de vill aktivera granskning av lösenordsvarningar, skicka e-postmeddelanden och tvinga användarna att ändra sina lösenord för Google om de anges på en webbplats som inte är betrodd.

Vad är Chrome Password Alert Policy och vad är annorlunda med den?

Du kan få många av funktionerna i Chrome-tillägget Lösenordsskyddet genom Chrome Password Alert Policy. Den implementeras internt i Chrome och möjliggör enhetlig implementering och rapportering av policy på alla plattformar som har stöd för Chrome.

Organisationen behöver inte ha G Suite eller Cloud Identity för att kunna använda Chrome Password Alert Policy. För närvarande har Chrome Password Alert Policy ingen Password Alert Server för granskning och kontroll av varningar.

Du och dina användare kan få två uppsättningar av varningar om du konfigurerar både Chrome-tillägget och Chrome Password Alert Policy. Inaktivera tillägget för att undvika dubbla varningar.

Kan jag återanvända lösenordet för mitt hanterade Google-konto på andra konton?

Nej. Lösenordsskyddet aktiveras om du anger lösenordet för ditt hanterade Google-konto (till exempel G Suite eller Cloud Identity) på en webbplats som inte ägs av Google. Du får en varning varje gång du använder lösenordet för andra konton för första gången. Du kan välja mellan att återställa lösenordet eller ignorera varningen för det specifika kontot.

Gmail-användare kan ignorera alla varningar på en webbplats. Om du använder samma lösenord för flera konton och någon obehörig försöker få tillgång till ett av kontona, försöker de ofta använda lösenordet även för andra konton. De försöker med andra ord att ta sig in med återanvända autentiseringsuppgifter.

Vad händer om jag inte använder Chrome?

Lösenordsskyddet är till för G Suite- och Cloud Identity-användare och fungerar för närvarande enbart som ett Chrome-tillägg i Chrome-webbläsaren. Som administratör kan du implementera Lösenordsskyddet på alla domäner med Chrome-policyer och konfigurera en Google App Engine-instans för övervakning av varningar på domänerna. Om du använder äldre webbläsare kan du läsa mer om stödet för äldre webbläsare i Chrome.

Fungerar Lösenordsskyddet med multiinloggning?

Lösenordsskyddet använder den aktiva Chrome-profilen för att fastställa vilket konto som skyddas. Om du vill installera Lösenordsskyddet Password Catcher för flera Google-konton använder du flera Chrome-profiler.

När aktiveras Lösenordsskyddet?

När du har installerat tillägget aktiveras Lösenordsskyddet nästa gång du loggar in på accounts.google.com. Javascript® måste vara aktiverat och användare med hanterade Google-konton måste vara inloggade på Chrome.

Hur vet Lösenordsskyddet vilket lösenord du använder?

Varje gång du loggar in på Google-kontot får Lösenordsskyddet tillfällig tillgång till ditt korrekta lösenord och sparar en miniatyrbild av lösenordet med en saltsträng och reducerade bitar i det lokala Chrome-arkivet. Denna miniatyrbild jämförs sedan med varje lösenord du skriver in på andra webbplatser än accounts.google.com (eller webbplatser som har godkänts av administratören om kontot tillhör en Google Cloud-domän).

Vilka andra verktyg kan jag använda för att skydda mitt lösenord?

För Gmail-användare är en säkerhetsnyckel av typen FIDO Universal 2nd Factor (U2F) ett mycket användbart verktyg för att förhindra lösenordsfiske.

Hur skiljer Lösenordsskyddet sig från de integrerade funktionerna för säker webbsökning i Chrome?

Chrome försöker identifiera nätfiskesidor i förväg, men det kan finnas inloggningssidor från bedragare. Lösenordsskyddet bör identifiera samtliga tillfällen då du anger ditt lösenord på en annan webbplats än accounts.google.com (eller webbplatser som har godkänts av administratören om kontot tillhör en Google Cloud-domän).

Stödjer Lösenordsskyddet Google-lösenord med färre än åtta tecken?

Nej, Lösenordsskyddet kräver att lösenord har minst åtta tecken. Du måste ändra äldre Google-lösenord som har färre än åtta tecken.

Registreras tangenttryckningar i Lösenordsskyddet?

Nej. Tangenttryckningar sparas inte på disk och inga tangenttryckningar skickas till något fjärrsystem via Lösenordsskyddet.

Måste Lösenordsskyddet vara aktiverat för Google Cloud-kunder?

Nej, Lösenordsskyddet är endast obligatoriskt för varningsgranskning, för att skicka e-postaviseringar samt för att tvinga användaren att ändra lösenordet för Google om det har angetts på en icke-betrodd webbplats.

Jag har konfigurerat Lösenordsskyddet ska skicka rapporter till appen Lösenordsskyddet. Varför får mina användare inte längre får banneraviseringar?

När du har konfigurerat att Lösenordsskyddet ska skicka rapporter till appen skickas eventuella aviseringar enbart till säkerhetsgruppen och/eller användaren via e-post. Du hittar mer information i avsnittet Aktivering i konfigurationsfilen för appen Lösenordsskyddet.

Vad är skillnaden mellan appen Lösenordsskyddet och App Engine-instansen?

Appen Lösenordsskyddet hanteras av Google medan App Engine-instansen hanteras av ditt team.

Vad är skillnaden mellan Inaktivera och Tillåten för Värdstatus i administratörskonsolen?

Tillåten – säkerhetsfunktionen aviseras inte och användarens lösenord upphör inte att gälla. Du använder denna status för att godkänna en värd och tillåta återanvändning av lösenord.

Inaktivera – aviserar inte säkerhetsfunktionen, men användarens lösenord upphör att gälla. Du inaktiverar normalt värdnamn när en återanvändning av lösenord identifieras på en giltig webbplats (exempelvis login.yahoo.com).

Okänd – säkerhetsfunktionen aviseras och användarens lösenord upphör att gälla. Detta är standardläget för alla värdar, förutom accounts.google.com och SSO-webbadressen som definierats i managed_policy_values.txt (SSO_URL).

Var det här till hjälp?
Hur kan vi förbättra den?