Chrome新擴(kuò)展如何驗(yàn)證密碼是否安全？

谷歌近日為 Chrome 推出了一個(gè)新擴(kuò)展，能夠自動(dòng)檢查用戶的密碼是否安全。盡管早有第三方開發(fā)者提供類似的功能，但官方的介入，顯然更加可靠一些。

簡(jiǎn)而言之，在安裝該擴(kuò)展之后，它會(huì)檢查用戶的所有登錄信息，將憑證與已泄露的數(shù)據(jù)庫(kù)想匹配，然后給出密碼是否安全的提示。

谷歌表示，該功能支持全美“大多數(shù)”站點(diǎn)。匹配數(shù)據(jù)庫(kù)中包含了大約 40 億組用戶名和密碼，如果不幸撞到，會(huì)及時(shí)向用戶發(fā)出警告。

密碼泄露確實(shí)不幸，尤其是那些在各個(gè)服務(wù)平臺(tái)上使用唯一用戶名或密碼的用戶。

即便某曝出了數(shù)據(jù)泄露，很多人也不會(huì)修改所有其它網(wǎng)站的密碼。

需要指出的是，在將客戶端密碼發(fā)送至匹配服務(wù)器之前，Chrome 會(huì)將數(shù)據(jù)進(jìn)行哈希加密處理。

谷歌表示，鑒于密碼檢查依賴于機(jī)密的信息，所以該公司非常重視加密安全，確保無(wú)人能夠查詢用戶的數(shù)據(jù)。

數(shù)據(jù)庫(kù)中的密碼以散列和加密的形式存儲(chǔ)，且生成的有關(guān)的任何警告，都是都完全在用戶的計(jì)算機(jī)本地完成的。

在谷歌之前，還有 1Password 等強(qiáng)大的密碼管理器提供了類似的服務(wù)（集成 Watchtower，可將用戶密碼與 Have I Been Pwned 的泄露數(shù)據(jù)庫(kù)作比較）。

好處是，谷歌的擴(kuò)展程序是免費(fèi)的。如果您發(fā)現(xiàn)其中一個(gè)站點(diǎn)的密碼被泄露，就可以借助 Chrome 內(nèi)置的密碼生成器，來(lái)生成一個(gè)新的密碼。

當(dāng)然，網(wǎng)絡(luò)信息安全是一場(chǎng)永不停止的攻防戰(zhàn)。即便運(yùn)用了如上措施（加上雙因素認(rèn)證），也無(wú)法保證萬(wàn)無(wú)一失（有其局限性）。

像 WebAuthn 這樣的標(biāo)準(zhǔn)，就強(qiáng)制要求采用硬件令牌來(lái)替代密碼。它看起來(lái)很有前景，但目前只有極少的網(wǎng)站支持該表組合呢，因此未能真正普及開來(lái)。

有鑒于此，我們還是只能重復(fù)已有的建議 —— 使用靠譜的密碼管理器、為每個(gè)站點(diǎn)創(chuàng)建唯一的密碼、在聽到數(shù)據(jù)泄露的第一時(shí)間修改任何受影響的網(wǎng)站服務(wù)密碼、并適當(dāng)啟用雙因素認(rèn)證。

Password Checkup 擴(kuò)展，下載地址（Chrome 網(wǎng)上應(yīng)用店）