Google利用了更安全的互联网日提出一个应该提高我们日常IT安全级别的新工具。受洗密码Chechup,这是Chrome浏览器的扩展程序,每次用户在连接表中插入登录名和密码时,都会检查这些数据是否尚未在盗版中受到损害。如有必要,该软件将显示警报,以鼓励用户更改密码。
根据原则,这种类型的工具不是很新。自2017年9月以来,HaveiBeenPWNED网站一直提供类似的服务PWNED密码。这样的软件的所有困难都是确保未透露密码。因为,当然,没有人愿意将密码提供给haveibeenpwned或Google。
阅读:如何使用密码检查,Google扩展程序检查密码的完整性
K-Anonymat和烙印
为了解决这个棘手的问题,这两项服务依靠密码足迹和“ K-Anonymat”。想法是以下内容:浏览器本地生成密码的烙印,仅发送此烙印的第一个字符。作为响应,验证服务返回以相同字符开头的指纹列表,并指折衷密码。该列表在浏览器级别与用户密码烙印进行了比较。如果在那里,用户会被提醒。最后,该服务既没有接收密码,也没有接收其加密烙印,而只是其中的一部分。
但是,haveibeenpwned和Google以相当不同的方式实施了这一验证原则。在第一种情况下,设备非常简单。浏览器将密码转换为SHA-1烙印,并从服务器接收SHA-1列表妥协指纹。然后他进行了比较。捕获是,SHA-1是一种过时的算法,面对蛮力攻击,不适合保护密码。因此,在截获指纹列表的情况下存在风险。
Google提供双重安全服务
使用Google,该设备要复杂得多。浏览器将标识符和密码转换为Argon2烙印,Argon2烙印是一种算法,其优势在于面对蛮力攻击时变得更加可靠。然后根据基于椭圆曲线的加密算法在本地加密此烙印,并使用用户知道的秘密键。
然后将加密的足迹发送到Google,该足迹使用其自己的秘密密钥添加了一个类似的加密层,并将其全部返回到浏览器中。然后根据用户的秘密密钥对双重量化的烙印进行解密。因此,我们本地获得了由Google加密的Argon2烙印。然后,将将此加密的足迹与浏览器级别与Google加密和发送的Argon2指纹列表进行比较。
先验,Google设备似乎更加安全,因为它使用了更坚固的加密烙印算法,并且由于加密而增加了额外的保护。
但是,目前,Google妥协的指纹基础尚未像haveibeenpwned那样完整。有线用Archi-prompompromist的标识符测试了扩展程序,而不会引起警报。一些互联网用户还担心Google使用此扩展程序在网络上收集和分析其路线。我们向网络巨头问了这个问题,并在获得答案后立即更新了本文。
来源 :
Google博客
