Chrome擴充功能可主動通知用戶帳密是否遭外洩

如果想知道你的密碼是否被駭，最常見的作法是到HaveIBeenPwned.com網站上查詢，但現在Google希望能主動告知你。Google宣佈一款名為Password Checkup的Chrome擴充功能，可在用戶帳號密碼外洩時通知用戶。

Password Checkup是Google和史丹佛大學密碼專家共同設計，它蒐集了超過40億個已知不安全或已外洩的帳號或密碼。在Chrome用戶安裝這個擴充功能後，一旦用戶登入某個網站時Google偵測其帳戶或密碼包含在這個資料庫中，即會觸發警告。

Google表示，Password Checkup設計上有三大原則。首先，這些警告必須提供明確而精準的安全建議，例如對不安全的帳號建議重設密碼，而不會警告電話號碼或住家地址外洩情形，因為後者沒有明確的防範措施。其次Google強調Password Checkup不會將外洩的帳密透露給Google，也不讓攻擊者濫用它來取得用戶資訊。且所有Password Checkup通報的統計資訊都是匿名的。最後，Password Checkup為了不過度打擾用戶，只會在登入帳密落入歹徒之手時發出警告，至於密碼過期或密碼強度太弱，如123456等情形，就不會收到這個擴充的警示。

Password Checkup必須就帳密外洩狀態詢問Google，也必須確保過程中不會外洩其他帳號、密碼，也不允許暴力破解。為此Password Checkup使用好幾次的雜湊、K匿名化（k-anonymity）、私密資訊擷取技術（private information retrieval，PIR）及名為障眼法（blinding）的密碼學技術。Google表示和許多現有作法如k-party PIR、single-party PIR及1-out-of-N oblivious transfer相比，Password Checkup能在隱私、運算效能及網路速度間保持平衡。

Password Checkup已經開放下載，目前為第一版，Google也承諾未來幾個月內會持續提升網站相容性及帳密欄位的偵測能力。

去年6月Mozilla曾推出Firefox Monitor功能，引導用戶前往Have I Been Pwned檢查自己的帳號是否被駭。而12月Mozilla將本服務擴大，在用戶首次造訪某個網站時提醒用戶前往Firefox Monitor網站，以查詢該網站過去12個月內是否被通報發生資料外洩。不過迄今Firefox尚未做到被駭通知服務。