近日,谷歌发布了一个名为“密码检查”的新Chrome扩展程序,用于检查登录表单中输入的用户名和密码组合是否在过去的数据泄露和安全事件中被泄露。
据悉,每次用户登录在线服务时,扩展程序都会起到保护作用。该扩展程序使用登录表单中输入的用户名和密码,并根据Google工程师在过去几年中从公共漏洞中收集的超过40亿个凭据的数据库进行检查。
如果在Google的不安全凭据的内部数据库中找到用户名和密码组合,则该扩展程序将显示一个弹出窗口,提醒用户需要更改凭据。
根据Google的说法,他们设计的扩展程序考虑到了隐私,因此Google和攻击者都不能滥用它来透露或了解用户的密码。
谷歌今日表示:“密码检查是与斯坦福大学的密码专家共同设计的,以确保谷歌永远不会知道您的用户名或密码,并确保任何违规数据都不会受到更广泛的曝光。”
根据Google的说法,扩展程序不会检查单个用户名和密码,而是同时检查这两个项目,作为组合。
这意味着当用户使用诸如“123456”之类的简单密码时,扩展名不会显示警报,但只有在以前泄露的数据中同时找到用户名和密码作为组合时才会显示警报。当用户使用简单或以前泄露的密码时,它不会提醒用户是因为他们试图避免警报/弹出疲劳,这可能导致用户完全忽略警报。
这个扩展的创建背后的原因是威胁参与者组使用来自旧泄漏的用户名和密码组合来启动凭证填充攻击,试图访问其他用户重用其旧用户名和密码组合的在线帐户。
本文属于原创文章,如若转载,请注明来源:谷歌发布Chrome扩展程序检查泄露密码//net.zol.com.cn/709/7091431.html
