Google日前发布Password Checkup Chrome浏览器扩展来应对当前数据泄露频发的问题,如果用户账号受到近期数据泄露事件的影响,就通知用户。
Google之前就要求用户修改密码以应对第三方数据泄露可能带来的影响,但该特征仅限于Google账户。
日前发布的Password Checkup Chrome扩展将谷歌数据泄露保护的范围扩展到用户用来登入其他网站或者APP的账户。
在Chrome中安装了Password Checkup扩展后,扩展在检测到用户在当前网站输入的用户名和密码的组合如果在Google收集的超过40亿泄露的身份配置库中后,就会自动警告用户并建议用户修改密码。
Password Checkup扩展
可能有用户会担心谷歌的该扩展是否会对用户账户产生安全问题,谷歌称当用户的账户详情被发送给Google服务器后,谷歌和斯坦福大学的研究人员共同开发的隐私保护技术可以确保包括Google员工在内的所有人都无法获取账户的详细情况(明文数据)。
从技术角度来看:Password Checkup扩展需要向Google服务器查询当前用户名和密码的泄露状态,但在这一过程中又不能泄露这些信息。Password Checkup扩展使用了多轮哈希加密、k-匿名 (k-anonymity) 算法、私有信息提取和blinding技术等相关技术来解决这些难题。
Blinding技术中,服务提供商可以在不知道原始输入和真实输出的情况下执行加密形式的查询。
Password Checkup扩展目前在Chrome的web商店已经可以下载安装了,更多关于Password Checkup扩展的使用等情况参见https://support.google.com/accounts/answer/9231944?p=password-checkup。
Google也不是第一个提供此类服务的企业,Mozilla在2019年9月就上线过Firefox Monitor平台,使用的数据库是Troy Hunt的Have I Been Pwned数据库。这两者的不同点在于Firefox Monitor平台是根据邮箱(用户名)来查询的,如果该站点在过去12个月发生过数据泄露事件,而且用户邮箱在泄露的范围内,该平台就会告知用户其账户密码数据已经被泄露。但是Password Checkup是对用户要登陆某个特定网站时输入的用户名和密码组合进行查询,以确定该密码组合是否发生泄露事件。
有兴趣的读者可以分别安装一下这两个扩展,试用后再做评价
本文来源:嘶吼
发表评论: