Google近日為Chrome推出了一個新擴充功能,能夠自動檢查使用者的密碼是否安全。儘管早有第三方開發者提供類似的功能,但官方的介入,顯然更加可靠一些。簡而言之,在安裝該plugin之後,它會檢查使用者的所有登入訊息,將憑證與已洩露的資料庫相匹配,然後給出密碼是否安全的提示。
Google表示,該功能支援全美國「大多數」網站。匹配資料庫中包含了大約40 億組使用者名稱和密碼,如果不幸你的密碼符合這些不安全的密碼撞到,會及時向使用者發出警告。
密碼洩露確實不幸,尤其是那些在各個服務平台上使用唯一使用者名稱或密碼的使用者。
即便某曝出了數據洩露,很多人也不會修改所有其它網站的密碼。
特別說明的是,在將客戶端密碼發送至匹配伺服器之前,Chrome會將數據進行哈希加密處理。
Google表示,鑑於密碼檢查依賴於機密的訊息,所以該公司非常重視加密安全,確保無人能夠查詢使用者的資料。
資料庫中的密碼以散列和加密的形式存儲,且生成的有關的任何警告,都是都完全在使用者的電腦客戶端完成的。
在Google之前,還有1Password 等強大的密碼管理器提供了類似的服務(整合Watchtower,可將用戶密碼與Have I Been Pwned 的洩露資料庫作比較)。
好處是,Google的擴充程式是免費的。如果您發現其中一個站點的密碼被洩露,就可以藉助Chrome 內建的密碼生成器,來生成一個新的密碼。
當然,網路訊息安全是一場永不停止的攻防戰。即便運用瞭如上措施(加上雙重認證),也無法保證萬無一失(有其侷限性)。
像WebAuthn 這樣的標準,就強制要求採用硬體令牌(hardware token)來替代密碼。它看起來很有前景,但目前只有極少的網站支持該表組合,因此未能真正普及開來。
有鑑於此,我們還是只能重複已有的建議—— 使用可靠的密碼管理器、為每個網站創建唯一的密碼、在聽到數據洩露的第一時間修改任何受影響的網站服務密碼、並適當啟用雙因素認證。
Password Checkup擴充,下載地址(Chrome線上應用程式商店)
╮(╯_╰)╭
(⊙ˍ⊙)
〒ˍ〒
囧rz
…