首页 手机 > 正文

谷歌的使命是防止你重复使用密码

谷歌负责账户安全、身份和滥用的高级主管马克里舍(Mark Risher)告诉The Verge:“密码是互联网上最糟糕的东西之一。”虽然它们对于安全和帮助人们登录许多应用程序和网站至关重要,但“它们是人们最终受到威胁的主要方式之一,即使不是主要方式。”

谷歌的安全主管说这很奇怪,因为你最后一次登录Gmail时,可能输入了密码。但多年来,该公司一直试图让用户远离该模型,或至少将损害降至最低。在未来几周内,谷歌战役中最安静的工具之一——密码检查功能——将被添加到每个谷歌账户的内置安全检查面板中,从而获得更高的知名度。

52%的人对多个账户重复使用同一个密码。

里舍值得关注。虽然你可以使用像密码管理器这样的工具来帮助跟踪你的登录信息,但许多人最终会重复使用许多帐户的密码。根据谷歌和民调公司哈里斯2019年2月发布的民调结果,52%的人在多个账户中使用同一个密码。根据调查,13%的人在所有帐户中重复使用该密码。并且微软表示,2019年已经有4400万个微软账号在网上被泄露用于二手登录。

虽然重复使用密码是一种记住你认为没人能猜出的复杂单词、短语或字母、数字和符号组合的方法,但这种做法会将你的个人信息置于危险之中。如果这个重复使用的密码作为数据泄露的一部分被泄露,那么黑客可以拥有许多其他在线帐户的密钥——不管这个短语有多复杂。

谷歌反滥用和安全研究小组成员科特托马斯说:“我们从过去的其他研究中得知,受到数据泄露影响的人被劫持的可能性是没有受到这些泄露影响的人的十倍。”。

一段时间以来,谷歌一直在努力帮助用户建立更好的密码习惯,但要确定一定的时间。多年来,该公司在Chrome和Android上的谷歌账户中提供了内置的密码管理器,可以保存你的密码,并自动填充到网站和应用程序中。

但在过去一年多的时间里,谷歌一直试图通过密码检查来帮助人们主动创建更好的密码。该工具对照40亿泄露的凭据数据库检查登录名,以查看您输入的密码是否与泄露的密码匹配。它于2019年2月作为Chrome扩展首次推出,谷歌于10月将其添加到谷歌账户,并于12月添加到Chrome。

这不是一个新的想法,但谷歌在提供密码检查等功能方面处于独特的地位。该公司可以访问数十亿个密码,并可以通过集成许多人已经依赖的帐户安全工具,向数十亿用户推出密码检查。

弄清楚如何让“密码检查”以尊重隐私的方式标记损坏的凭据是一个棘手的技术问题,这需要谷歌和斯坦福的共同努力。两家公司的研究人员告诉我们,挑战在于找到一种方法来自动检查非法登录数据库的用户的凭据,而不会将信息透露给谷歌或授予用户访问整个数据库的权限,同时将解决方案扩展到谷歌庞大的用户群。

出于这个原因,谷歌将存储因数据泄露而暴露的每个已知用户名和密码的哈希和加密版本。每当你登录到你的帐户,谷歌将发送哈希值和你的登录信息的加密版本到数据库。这样谷歌就看不到你的密码,也看不到谷歌已知的受损登录列表。如果谷歌检测到匹配,谷歌会显示一个警告,建议你更改这个网站的密码。

托马斯说,谷歌从“许多不同的来源和可信的合作伙伴”那里获得了泄露的登录信息,包括公开共享密码转储的地下论坛。他继续说,“我们有一个道德政策,我们永远不会为窃取的数据付钱给罪犯。”“但就像这些市场的运作方式一样,(被盗数据)经常会出现并可供使用。”他说,通过利用谷歌在这些市场的作用,公司可以获得数据。

托马斯说,在许多谷歌产品中,从创建密码到显示密码检查大约需要两到三年的时间。最重要的是,谷歌希望让Security Checkup在检测到存储的登录信息受到数据泄露威胁时,向你发送电子邮件。该公司计划在未来几个月内开始这项服务。谷歌计划在今年晚些时候让人们在Chrome中使用密码检查,即使他们没有登录谷歌账户。

其他公司也提供密码检查工具。

谷歌不是唯一一家提供某种密码检查功能的公司。付费密码管理器1Password建议更改弱密码或重复密码,并提供Watchtower,可以根据Troy Hunt拥有超过90亿个受感染帐户的“我拥有”数据库检查登录信息,并标记任何匹配。苹果公司昨天宣布,其下一个版本的Safari将提供一个密码监控工具,其工作原理类似于“密码检查”。

但凭借其庞大的规模,谷歌在帮助人们提供密码方面具有优势。密码检查和内置密码管理器等工具可以实现更广泛的目标,从而使用户更容易获得在线安全。

谷歌安全工程副总裁罗亚尔汉森(Royal Hansen)说,“我喜欢安全,我认为[密码检查]是一个很好的例子,‘如何让普通人更容易做正确的事情?’“边缘。他说,“这不是警告你越来越多的问题。”“坦白说,这是让你更容易完成的最基本的一步。"

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。