谷歌未來(lái)幾周內(nèi)為每個(gè)谷歌賬戶推出密碼檢查插件

谷歌負(fù)責(zé)賬戶安全、身份和濫用的高級(jí)主管Mark Risher表示，密碼是互聯(lián)網(wǎng)上最糟糕的事情之一，盡管它們對(duì)安全至關(guān)重要，并幫助人們登錄許多應(yīng)用程序和網(wǎng)站，但是它們是用戶賬戶最終被入侵的主要方式之一。谷歌多年來(lái)一直在試圖將用戶從密碼中解放，或者至少將損害降到最低。而在未來(lái)幾周，谷歌在這場(chǎng)斗爭(zhēng)中最安靜的工具之一-密碼檢查插件，將獲得更高的關(guān)注度，因?yàn)樗尤肓嗣總€(gè)谷歌賬戶內(nèi)置的安全檢查儀表板。

雖然用戶可以使用密碼管理器這樣的工具來(lái)幫助跟蹤登錄信息，但很多人最終只是重復(fù)使用許多賬戶的密碼。根據(jù)谷歌和調(diào)查公司Harris在2019年2月發(fā)布的一項(xiàng)調(diào)查結(jié)果顯示，52%的人在多個(gè)賬戶中重復(fù)使用同一個(gè)密碼。該調(diào)查發(fā)現(xiàn)，有13%的人在所有賬戶中重復(fù)使用該密碼。而微軟在2019年表示，有4400萬(wàn)個(gè)微軟賬戶使用了曾在網(wǎng)上泄露的登錄信息。

一段時(shí)間以來(lái)，谷歌一直在嘗試幫助用戶建立更好的密碼習(xí)慣，雖然緩慢，但卻很堅(jiān)定。多年來(lái)，該公司在Chrome和Android上的谷歌賬戶中提供了一個(gè)內(nèi)置的密碼管理器，可以保存你的密碼，并在網(wǎng)站和應(yīng)用程序等方面自動(dòng)填寫密碼。但在過(guò)去一年多的時(shí)間里，谷歌也一直在努力通過(guò)密碼檢查工具幫助人們主動(dòng)制作更好的密碼。該工具會(huì)根據(jù)數(shù)據(jù)庫(kù)中40億個(gè)泄露的憑證檢查登錄情況，看看你輸入的密碼是否與已經(jīng)泄露的密碼相符。

這并不是一個(gè)新的想法，但谷歌在提供類似密碼檢查這樣的服務(wù)方面具有獨(dú)特的優(yōu)勢(shì)。該公司擁有數(shù)十億密碼的訪問(wèn)權(quán)限和規(guī)模，可以將密碼檢查工具與許多人已經(jīng)依賴的賬戶安全工具整合，向數(shù)十億用戶推出。

如何讓Password Checkup以一種尊重隱私的方式標(biāo)記泄露的憑證是一個(gè)艱難的技術(shù)問(wèn)題，需要谷歌和斯坦福的共同努力。兩家機(jī)構(gòu)的研究人員告訴我，他們面臨的挑戰(zhàn)是如何找到一種方法，在不向谷歌透露信息或讓用戶訪問(wèn)整個(gè)數(shù)據(jù)庫(kù)的情況下，自動(dòng)對(duì)照數(shù)據(jù)庫(kù)中被泄露的登錄信息檢查用戶的憑證，同時(shí)將該解決方案擴(kuò)展到谷歌的龐大用戶群。

為此，谷歌存儲(chǔ)了數(shù)據(jù)泄露暴露的每個(gè)已知用戶名和密碼的哈希和加密版本。每當(dāng)你登錄一個(gè)賬戶時(shí)，谷歌都會(huì)針對(duì)該數(shù)據(jù)庫(kù)發(fā)送一個(gè)哈希和加密版本的登錄信息。這樣一來(lái)，谷歌就無(wú)法看到你的密碼，你也無(wú)法看到谷歌已知被篡改的登錄列表。如果谷歌檢測(cè)到匹配，谷歌會(huì)顯示一個(gè)警告，建議你更改該網(wǎng)站的密碼。

谷歌從多個(gè)不同的來(lái)源和值得信賴的合作伙伴獲得泄露的登錄信息，包括公開分享密碼轉(zhuǎn)儲(chǔ)的地下論壇，但是谷歌永遠(yuǎn)不會(huì)向犯罪分子為被盜數(shù)據(jù)支付金錢，但僅僅憑借這些市場(chǎng)的運(yùn)作方式，很多時(shí)候，被盜數(shù)據(jù)會(huì)冒出來(lái)，并成為可用的數(shù)據(jù)，利用谷歌在這些市場(chǎng)中的角色，谷歌可以獲得這些數(shù)據(jù)。