谷歌负责账户安全、身份和滥用的高级主管Mark Risher表示,密码是互联网上最糟糕的事情之一,尽管它们对安全至关重要,并帮助人们登录许多应用程序和网站,但是它们是用户账户最终被入侵的主要方式之一。谷歌多年来一直在试图将用户从密码中解放,或者至少将损害降到最低。 而在未来几周,谷歌在这场斗争中最安静的工具之一-密码检查插件,将获得更高的关注度,因为它加入了每个谷歌账户内置的安全检查仪表板。
虽然用户可以使用密码管理器这样的工具来帮助跟踪登录信息,但很多人最终只是重复使用许多账户的密码。根据谷歌和调查公司Harris在2019年2月发布的一项调查结果显示,52%的人在多个账户中重复使用同一个密码。该调查发现,有13%的人在所有账户中重复使用该密码。而微软在2019年表示,有4400万个微软账户使用了曾在网上泄露的登录信息。
一段时间以来,谷歌一直在尝试帮助用户建立更好的密码习惯,虽然缓慢,但却很坚定。多年来,该公司在Chrome和Android上的谷歌账户中提供了一个内置的密码管理器,可以保存你的密码,并在网站和应用程序等方面自动填写密码。但在过去一年多的时间里,谷歌也一直在努力通过密码检查工具帮助人们主动制作更好的密码。该工具会根据数据库中40亿个泄露的凭证检查登录情况,看看你输入的密码是否与已经泄露的密码相符。
这并不是一个新的想法,但谷歌在提供类似密码检查这样的服务方面具有独特的优势。该公司拥有数十亿密码的访问权限和规模,可以将密码检查工具与许多人已经依赖的账户安全工具整合,向数十亿用户推出。
如何让Password Checkup以一种尊重隐私的方式标记泄露的凭证是一个艰难的技术问题,需要谷歌和斯坦福的共同努力。两家机构的研究人员告诉我,他们面临的挑战是如何找到一种方法,在不向谷歌透露信息或让用户访问整个数据库的情况下,自动对照数据库中被泄露的登录信息检查用户的凭证,同时将该解决方案扩展到谷歌的庞大用户群。
为此,谷歌存储了数据泄露暴露的每个已知用户名和密码的哈希和加密版本。每当你登录一个账户时,谷歌都会针对该数据库发送一个哈希和加密版本的登录信息。这样一来,谷歌就无法看到你的密码,你也无法看到谷歌已知被篡改的登录列表。如果谷歌检测到匹配,谷歌会显示一个警告,建议你更改该网站的密码。
谷歌从多个不同的来源和值得信赖的合作伙伴获得泄露的登录信息,包括公开分享密码转储的地下论坛,但是谷歌永远不会向犯罪分子为被盗数据支付金钱,但仅仅凭借这些市场的运作方式,很多时候,被盗数据会冒出来,并成为可用的数据,利用谷歌在这些市场中的角色,谷歌可以获得这些数据。