谷歌未來幾周內為每個谷歌賬戶推出密碼檢查插件

谷歌負責賬戶安全、身份和濫用的高級主管Mark Risher表示，密碼是互聯網上最糟糕的事情之一，盡管它們對安全至關重要，并幫助人們登錄許多應用程序和網站，但是它們是用戶賬戶最終被入侵的主要方式之一。谷歌多年來一直在試圖將用戶從密碼中解放，或者至少將損害降到最低。而在未來幾周，谷歌在這場斗爭中最安靜的工具之一-密碼檢查插件，將獲得更高的關注度，因為它加入了每個谷歌賬戶內置的安全檢查儀表板。

雖然用戶可以使用密碼管理器這樣的工具來幫助跟蹤登錄信息，但很多人最終只是重復使用許多賬戶的密碼。根據谷歌和調查公司Harris在2019年2月發(fā)布的一項調查結果顯示，52%的人在多個賬戶中重復使用同一個密碼。該調查發(fā)現，有13%的人在所有賬戶中重復使用該密碼。而微軟在2019年表示，有4400萬個微軟賬戶使用了曾在網上泄露的登錄信息。

一段時間以來，谷歌一直在嘗試幫助用戶建立更好的密碼習慣，雖然緩慢，但卻很堅定。多年來，該公司在Chrome和Android上的谷歌賬戶中提供了一個內置的密碼管理器，可以保存你的密碼，并在網站和應用程序等方面自動填寫密碼。但在過去一年多的時間里，谷歌也一直在努力通過密碼檢查工具幫助人們主動制作更好的密碼。該工具會根據數據庫中40億個泄露的憑證檢查登錄情況，看看你輸入的密碼是否與已經泄露的密碼相符。

這并不是一個新的想法，但谷歌在提供類似密碼檢查這樣的服務方面具有獨特的優(yōu)勢。該公司擁有數十億密碼的訪問權限和規(guī)模，可以將密碼檢查工具與許多人已經依賴的賬戶安全工具整合，向數十億用戶推出。

如何讓Password Checkup以一種尊重隱私的方式標記泄露的憑證是一個艱難的技術問題，需要谷歌和斯坦福的共同努力。兩家機構的研究人員告訴我，他們面臨的挑戰(zhàn)是如何找到一種方法，在不向谷歌透露信息或讓用戶訪問整個數據庫的情況下，自動對照數據庫中被泄露的登錄信息檢查用戶的憑證，同時將該解決方案擴展到谷歌的龐大用戶群。

為此，谷歌存儲了數據泄露暴露的每個已知用戶名和密碼的哈希和加密版本。每當你登錄一個賬戶時，谷歌都會針對該數據庫發(fā)送一個哈希和加密版本的登錄信息。這樣一來，谷歌就無法看到你的密碼，你也無法看到谷歌已知被篡改的登錄列表。如果谷歌檢測到匹配，谷歌會顯示一個警告，建議你更改該網站的密碼。

谷歌從多個不同的來源和值得信賴的合作伙伴獲得泄露的登錄信息，包括公開分享密碼轉儲的地下論壇，但是谷歌永遠不會向犯罪分子為被盜數據支付金錢，但僅僅憑借這些市場的運作方式，很多時候，被盜數據會冒出來，并成為可用的數據，利用谷歌在這些市場中的角色，谷歌可以獲得這些數據。