圖片來源: 

google

如果想知道你的密碼是否被駭,最常見的作法是到HaveIBeenPwned.com網站上查詢,但現在Google希望能主動告知你。Google宣佈一款名為Password Checkup的Chrome擴充功能,可在用戶帳號密碼外洩時通知用戶。

Password Checkup是Google和史丹佛大學密碼專家共同設計,它蒐集了超過40億個已知不安全或已外洩的帳號或密碼。在Chrome用戶安裝這個擴充功能後,一旦用戶登入某個網站時Google偵測其帳戶或密碼包含在這個資料庫中,即會觸發警告。

Google表示,Password Checkup設計上有三大原則。首先,這些警告必須提供明確而精準的安全建議,例如對不安全的帳號建議重設密碼,而不會警告電話號碼或住家地址外洩情形,因為後者沒有明確的防範措施。其次Google強調Password Checkup不會將外洩的帳密透露給Google,也不讓攻擊者濫用它來取得用戶資訊。且所有Password Checkup通報的統計資訊都是匿名的。最後,Password Checkup為了不過度打擾用戶,只會在登入帳密落入歹徒之手時發出警告,至於密碼過期或密碼強度太弱,如123456等情形,就不會收到這個擴充的警示。

Password Checkup必須就帳密外洩狀態詢問Google,也必須確保過程中不會外洩其他帳號、密碼,也不允許暴力破解。為此Password Checkup使用好幾次的雜湊、K匿名化(k-anonymity)、私密資訊擷取技術(private information retrieval,PIR)及名為障眼法(blinding)的密碼學技術。Google表示和許多現有作法如k-party PIR、single-party PIR及1-out-of-N oblivious transfer相比,Password Checkup能在隱私、運算效能及網路速度間保持平衡。

Password Checkup已經開放下載,目前為第一版,Google也承諾未來幾個月內會持續提升網站相容性及帳密欄位的偵測能力。

去年6月Mozilla曾推出Firefox Monitor功能,引導用戶前往Have I Been Pwned檢查自己的帳號是否被駭。而12月Mozilla將本服務擴大,在用戶首次造訪某個網站時提醒用戶前往Firefox Monitor網站,以查詢該網站過去12個月內是否被通報發生資料外洩。不過迄今Firefox尚未做到被駭通知服務。


Advertisement

更多 iThome相關內容