如果想知道你的密碼是否被洩露了,最常見的做法是到HaveIBeenPwned.com網站上查詢,但現在Google希望能自動告知你。
近日,Google宣布一款名為Password Checkup的Chrome擴充功能,能夠自動檢查用戶的密碼是否安全,在用戶帳號密碼外洩時通知用戶。雖然早前就有第三方開發者提供類似的功能,但有官方的介入,顯然更加可靠一些。
很多人為了方便會在各個服務平臺上使用唯一用戶名或密碼的用戶,但其洩露風險會增加,即便某網站曝出了數據洩露,也不會修改所有其它網站的密碼。谷歌表示,Password Checkup收集了超過40個億的已知不安全或已外洩的帳號和密碼,在Chrome用戶安裝這功能後,一旦用戶登錄某個網站時,Google便會主動偵測帳戶密碼是否在外洩名單中。該功能支持全美「大多數」站點,如果不幸撞到,會及時向用戶發出警告。
值得注意的是,擴展程序會自動讀取保存在谷歌瀏覽器中的表單的帳號和密碼,然後採用哈希加密數據後發送到谷歌伺服器再對比。谷歌鑑於密碼檢查依賴於機密的信息,強調所有的加密都是在本地完成的,確保無人能查詢用戶密碼,資料庫中的密碼以散列和加密的形式存儲,且生成的有關的任何警告,所以用戶也不需要擔心在密碼傳輸過程中出現意外洩露引起問題等。
而且,谷歌的擴展程序是免費的,可以說對用戶是十分有好處的。如果您發現其中一個站點的密碼被洩露,就可以藉助 Chrome 內置的密碼生成器,來生成一個新的密碼。對於用戶來說使用谷歌瀏覽器進行自動同步所以也不需要記住密碼,使用隨機密碼後安全性相對來說有提高。隨機密碼並不能阻止其他網站將用戶密碼洩露,但起碼洩露後用戶不需要更改相同密碼的其他網站防止撞庫。
當然,網絡信息安全是一場永不停止的攻防戰。即便運用了如上措施(加上雙因素認證),也無法保證萬無一失(有其局限性)。對於此,我們還是只能重複已有的建議 —— 使用靠譜的密碼管理器、為每個站點創建唯一的密碼、在聽到數據洩露的第一時間修改任何受影響的網站服務密碼、並適當啟用雙因素認證。