Google：1.5%網站用戶使用已外洩的憑證來登入

Google在今年2月發表了Chrome擴充程式Password Checkup，可在使用者以遭駭憑證登入網站時跳出通知，本周Google公布了該擴充程式上線一個月之後的成果，顯示有1.5%的用戶使用已外洩的憑證來登入各式網站。

根據Google的統計，總計有65萬名Chrome用戶下載Password Checkup並參與該實驗，在一個月裡程式總計掃描了2,100萬個使用者名稱與密碼，並有31.6萬組曾出現在外洩資料庫中，代表當中有1.5%的憑證是不安全的。

Password Checkup採用了Private set intersection技術，可找出兩個不同加密資料集中具備同樣身分的資料，亦即能夠在加密的狀況下，比對使用者所輸入的憑證與超過40億的外洩資料庫，在察覺相同資料時跳出提醒。

根據Google的分析，使用者重覆利用遭外洩憑證的狀況因所造訪的網站而有所不同，例如在政府網站使用外洩憑證的比例只有0.2%，在金融網站有0.3%，在購物網站有1.2%，在新聞網站為1.9%，但在娛樂網站上使用這些外洩憑證的比例則高達6.3%。

在收到Password Checkup的提醒之後，使用者選擇重設了26%的外洩密碼，且當中有60%採用了較難被破解的強大密碼。

本周Google也在Password Checkup上新增了兩項功能，一是提供快速的評論視窗，以方便使用者回報任何問題，二是讓使用者退出匿名遙測，以避免Google蒐集用戶是否變更密碼或是顯示不安全憑證的查找次數等資訊。Google強調，不管是否啟用遙測，Google都不會得知使用者的憑證，只是進一步提供拒絕與Google分享其它資訊的選項。