谷歌的使命是防止你重复使用密码

谷歌负责账户安全、身份和滥用的高级主管马克里舍告诉《边缘报》:“密码是互联网上最糟糕的东西之一。”尽管它们对安全至关重要，并帮助人们登录许多应用程序和网站，“它们是人们最终受到威胁的主要方法之一，如果不是主要方法的话。”

谷歌安全总监表示，这很奇怪，因为你可能在上次登录Gmail时输入了密码。但多年来，该公司一直试图让用户远离该模式，或者至少将损害降至最低。在接下来的几周内，谷歌战斗中最安静的工具之一——密码检查功能——将被添加到每个谷歌账户的内置安全检查面板中，从而获得更高的人气。

52%的人对多个账户重复使用同一个密码

里舍值得关注。虽然您可以使用密码管理器等工具来帮助跟踪您的登录信息，但许多人最终会重复使用许多帐户的密码。根据谷歌和民调公司哈里斯在2019年2月发布的民调结果，52%的人在多个账户中使用同一个密码。调查发现，13%的人在所有账户中重复使用这个密码。微软表示，2019年，有4400万个微软账户被泄露到网上进行二手登录。

虽然重复使用密码是记住你认为没人能猜到的复杂单词、短语或字母、数字和符号组合的一种方式，但它会让你的个人信息面临风险。如果重复使用的密码作为数据泄露的一部分被泄露，黑客可以拥有许多其他在线账户的密钥——不管这个短语有多复杂。

谷歌反滥用和安全研究小组成员科特托马斯说：“我们从过去的其他研究中了解到，被数据泄露暴露的人被劫持的可能性是未被这些泄露事件暴露的人的十倍。

一段时间以来，谷歌一直在努力帮助用户建立更好的密码习惯，但需要确定一定的时间。多年来，该公司在Chrome和安卓上的谷歌账户中提供了内置的密码管理器，可以保存你的密码，并在网站和应用程序中自动填写。

但在过去一年左右的时间里，谷歌一直试图通过密码检查来帮助人们积极创建更好的密码。该工具根据40亿个泄露的凭据数据库检查登录名，以查看您输入的密码是否与泄露的密码匹配。它于2019年2月作为Chrome扩展首次推出，谷歌于10月将其添加到谷歌账户，并于12月将其添加到Chrome。

这不是一个新的想法，但谷歌在提供密码检查等功能方面处于独特的地位。该公司可以访问数十亿个密码，并可以通过与许多人已经依赖的帐户安全工具集成，向数十亿用户介绍密码检查。

如何以尊重隐私的方式让“密码检查”标记损坏的凭据，这是一个棘手的技术问题，需要谷歌和斯坦福的共同努力。两家公司的研究人员告诉我们，面临的挑战是找到一种方法来自动检查违反规定登录数据库的用户的凭据，而不会将信息泄露给谷歌或授予用户访问整个数据库的权限，同时将解决方案扩展到谷歌庞大的用户群。

为此，谷歌存储了因数据泄露而暴露的每个已知用户名和密码的散列和加密版本。每次你登录你的账户，谷歌都会把哈希值和加密版本的登录信息发送到数据库。这样，谷歌就看不到你的密码或谷歌已知泄露的登录列表。如果谷歌检测到匹配，谷歌将显示一条警告，建议您更改网站的密码。

托马斯说，谷歌从“许多不同的来源和可信的合作伙伴”那里获得了泄露的登录信息，包括公开分享密码的地下论坛。他继续说道：“我们有道德政策，我们永远不会向罪犯支付被盗数据。”“但仅仅是因为这些市场的运作方式，(被盗的数据)往往会出现，并可供使用。”他说，通过利用谷歌在这些市场的作用，公司可以获得数据。

托马斯说，在许多谷歌产品中，从创建密码到显示密码检查大约需要两到三年的时间。最重要的是，当谷歌检测到存储的登录信息受到数据泄露的威胁时，它希望让安全检查向您发送电子邮件。该公司计划在未来几个月内开始这项服务。谷歌计划在今年晚些时候让人们能够在Chrome中使用密码检查，即使他们没有登录谷歌账户。

其他公司也提供密码检查工具

谷歌不是唯一提供某种密码检查的公司。付费密码管理器1Password建议更改弱密码或重复密码，并提供Watchtower，可以根据Troy Hunt拥有超过90亿个感染账号的“我拥有”数据库检查登录信息，并标记任何匹配项。苹果公司昨天宣布，其下一个版本的Safari将提供一个密码监控工具，其工作原理类似于密码检查。

然而，凭借其庞大的规模，谷歌在帮助人们提供密码方面具有优势。密码检查和内置密码管理器等工具可以实现更广泛的目标，从而使用户更容易获得在线安全。

谷歌安全工程副总裁Royal Hansen表示：“我喜欢安全，我认为(密码检查)是一个很好的例子，‘普通人如何更容易地做正确的事情？’“边缘。他说：“这不是警告你越来越多的问题。”“坦白说，这是最基本的一步，让你更容易完成。"

标签：