Google在今年2月发布了Chrome扩展程序Password Checkup,可在用户以遭黑凭证登录网站时跳出通知,本周Google公布了该扩展程序上线一个月之后的成果,显示有1.5%的用户使用已外泄的凭证来登录各式网站。
根据Google的统计,总计有65万名Chrome用户下载Password Checkup并参与该实验,在一个月里程序总计扫描了2,100万个用户名与密码,并有31.6万组曾出现在外泄数据库中,代表其中有1.5%的凭证是不安全的。
Password Checkup采用了Private set intersection技术,可找出两个不同加密数据集中具备同样身份的数据,也即能够在加密的状况下,比对用户所输入的凭证与超过40亿的外泄数据库,在发现相同数据时跳出提醒。
根据Google的分析,用户重复利用遭外泄凭证的状况因所访问的网站而有所不同,例如在政府网站使用外泄凭证的比例只有0.2%,在金融网站有0.3%,在购物网站有1.2%,在新闻网站为1.9%,但在娱乐网站上使用这些外泄凭证的比例则高达6.3%。
在收到Password Checkup的提醒之后,用户选择重设了26%的外泄密码,且其中有60%采用了较难被破解的强大密码。
本周Google也在Password Checkup上添加了两项功能,一是提供快速的评论窗口,以方便用户回应任何问题,二是让用户退出匿名遥测,以避免Google搜集用户是否变更密码或是显示不安全凭证的查找次数等信息。Google强调,不管是否激活遥测,Google都不会得知用户的凭证,只是进一步提供拒绝与Google分享其它信息的选项。