密码检查Chrome扩展警告用户登录的危害

上周扩展的密码检查功能，每当用户在网站上输入登录凭证时，该功能就会提醒用户登录时存在安全隐患。

密码检查将把用户提供的用户名/密码与数据库中的40亿个凭证进行比较，这些凭证属于多年来披露的各种数据泄露事件。如果匹配成功，该工具将显示一个红色警告框，并建议用户更改密码。

“如果我们检测到你使用的网站上的用户名和密码是我们所知道的已经被泄露的超过40亿个凭证中的一个，这个扩展会自动触发一个警告，并建议你修改密码。”谷歌的博客文章写道。

密码检查

谷歌指出，密码检查需要同时保护查询的内容和防止过程中的凭证泄漏。Chrome扩展通过使用多轮哈希、k-匿名和私有集合与盲化的交集来满足这些需求。

“在较高的级别上，密码检查需要查询谷歌关于用户名和密码的破坏状态，而不需要显示查询到的信息。”与此同时，我们需要确保在此过程中没有关于其他不安全用户名或密码的信息泄漏，并且不能使用暴力猜测。密码检查通过使用多轮哈希、k-匿名和与盲法交叉的私有集来满足所有这些要求。谷歌发表的一篇文章写道。

密码检查是在斯坦福大学密码学专家的支持下开发的，以避免谷歌本身可以了解用户的凭证，并防止更广泛的泄漏

密码检查并不是唯一一项允许用户检查他们的凭证是否在多年来的数据泄露中被泄露的服务，其他免费服务包括“我被典当了吗?”

Pierluigi帕格尼尼

(保安事务-资料外泄、黑客行为)