Google在今年2月發表了Chrome擴充程式Password Checkup,可在使用者以遭駭憑證登入網站時跳出通知,本週Google公佈了該擴充程式上線一個月之後的成果,顯示有1.5%的使用者使用已外洩的憑證來登入各種網站。
根據Google的統計,總計有65萬名Chrome使用者下載Password Checkup並參與該實驗,在一個月里程式總計掃描了2,100萬個使用者名稱與密碼,並有31.6萬組曾出現在外洩資料庫中,代表當中有1.5%的憑證是不安全的。
Password Checkup採用了Private set intersection技術,可找出兩個不同加密資料集中具備同樣身分的資料,亦即能夠在加密的狀況下,比對使用者所輸入的憑證與超過40億的外洩資料庫,在察覺相同資料時跳出提醒。
根據Google的分析,使用者重覆利用遭外洩憑證的狀況因所造訪的網站而有所不同,例如在政府網站使用外洩憑證的比例只有0.2%,在金融網站有0.3%,在購物網站有1.2%,在新聞網站為1.9%,但在娛樂網站上使用這些外洩憑證的比例則高達6.3%。
在收到Password Checkup的提醒之後,使用者選擇重設了26%的外洩密碼,且當中有60%採用了較難被破解的強大密碼。
本週Google也在Password Checkup上新增了兩項功能,一是提供快速的評論視窗,以方便使用者回報任何問題,二是讓使用者退出匿名遙測,以避免Google蒐集使用者是否變更密碼或是顯示不安全憑證的查詢次數等資訊。 Google強調,不管是否啟用遙測,Google都不會得知使用者的憑證,只是進一步提供拒絕與Google分享其它資訊的選項。
自 ithome