默认情况下,Chrome现在会通知用户其凭据是否公开。
Chrome_BlogHeader_PasswordManager.max-1000x1000-800x333.png

去年,Google的密码检查功能已逐渐在整个Google生态系统中普及。它最初是 针对台式机版Chrome 的“密码检查” 扩展程序,可在您输入密码时审核单个密码,几个月后,它已集成到每个Google帐户中 ,可以对所有保存的密码运行按需审核。现在,Password Checkup已取代Chrome扩展程序,而已集成到台式机和移动版Chrome 79中。

所有这些密码检查功能均适用于将用户名和密码组合保存在Chrome中并已同步到Google服务器的用户。Google认为,由于它拥有一个包含所有密码的大型(加密)数据库,因此,不妨将它们与40亿多名遭受破坏的用户名和密码的公开列表进行比较,这些用户名和密码多年来一直遭受无数安全隐患。每当Google进行匹配时,它都会通知您一组特定的凭据是公开的且不安全,您应该更改密码。

密码检查的工作方式。 谷歌

整个过程的重点就是安全性,因此Google会通过将您的加密凭据与受损凭据的加密列表进行比较来完成所有这些工作。Chrome首先将您的用户名的加密的3字节哈希发送给Google,然后将其与Google的受感染用户名列表进行比较。如果匹配,则会向本地计算机发送一个数据库,其中包含错误的凭据列表中所有可能匹配的用户名和密码,并使用Google的密钥进行加密。然后,您将获得一个用两个密钥加密的密码副本:一个是您通常的私钥,另一个是用于Google错误凭证列表的密钥。在您的本地计算机上,密码检查功能删除了唯一可以解密的密钥,私钥,并保留了Google密钥加密的用户名和密码,谷歌表示,这种技术被称为“私有集相交”,这意味着您不会看到谷歌的不良凭证列表,谷歌也不会学习您的凭证,但是可以将两者进行比较以进行匹配。
将密码检查功能内置到Chrome中应该会使密码审核更加主流。只有最注重安全性的人员才能在passwords.google.com上找到并安装Chrome扩展程序或执行完整的密码审核,并且这些人可能一开始就拥有更好的密码卫生习惯。将功能内置到Chrome中后,它将在更多通常不考虑密码安全性的主流用户面前展示出来,而这些用户正是这类用户。由于移动版Chrome仍不支持扩展程序(Google plz),因此这也是首次在移动设备上进行密码检查。

Google表示:“目前,我们正在逐步为所有登录Chrome的用户(作为我们的安全浏览保护的一部分)逐步推出这一功能。” 用户可以在Chrome设置的“同步和Google服务”部分中控制该功能,如果您未登录Chrome且未将数据与Google的服务器同步,则该功能将无法使用。

由于密码检查功能已集成到Chrome中,因此该扩展不再真正有用。Web版本仍然可以用作Google所存储的所有密码的完整密码审核工具,现在Chrome内置的版本将在您输入密码时不断检查您的密码。