ADVERTISEMENT
Google在今年稍早的時候發表了支援Chrome的密碼檢查擴充功能,它能將使用者的密碼與40億組已知遭到入侵的登入憑證進行比對,讓使用者瞭解自己的帳號是否安全。為了保護更多人,Google也將這個功能整合至Google帳號與Chrome瀏覽器。
自動保護帳號安全
由於許多使用者會以同1組E-Mail地址與密碼註冊多個網站的帳號,舉例來說,我們可能會使用Google帳號所屬的E-Mail地址註冊購物網站,並且使用相同的密碼。如果該購物網站的資安措施有所疏失,造成使用者的帳號資訊外流,就可能會因此影響到Google帳號的安全性。
Google提出解決方案的概念,就是會在不窺探使用者資料的前提下,自動掃瞄帳號、密碼是否與已知遭入侵的資料重疊,以發出警告提醒使用者更換密碼。要怎麼在「不知道帳號、密碼的情況下,檢查帳號、密碼」,聽起來有些弔詭吧,就讓我們來看看Google所使用的技術。
ADVERTISEMENT
當Google發現其他網站、公司發生資料外洩事件後,就會使用只有Google知道的加密金鑰將被洩漏的資料加密,並將加密後的副本與雜湊值儲存於內部伺服器。
而使用者利用Chrome瀏覽器登入各網站的時候,Chrome也會用只有瀏覽器知道的加密金鑰(簡單地說是在使用者電腦上產生的金鑰,Google也不知道)將帳號、密碼加密,並將加密後的副本與雜湊值回傳到伺服器,如此一來伺服器握有雙方資料。
接下來的工作,就是Google的伺服器要在未解密使用者資料的情況下,核對雙方資料是否相符。為了達到這個目的,系統會使用稱為Private Set Intersection的技術,能夠在不解密資料的前提下,比對使用者的帳號與密碼是否與被洩漏的資料有所重疊。另一方面為了降低比對資料的運算需求,系統會先核對使用者帳號前3個bite的SHA256雜湊值,如此一來可以將需比對的範圍從40億筆資料減少到250筆。
ADVERTISEMENT
ADVERTISEMENT
在不公開資料的情況下完成比對
在經過上面圖片的前3個步驟後,使用者手上就會有被Google加密的「被洩漏的資料」,與自己加密的「自己的資料」,如此一來就能在自己的電腦透過Private Set Intersection比對2者是否相符,而過程都不會對外公開自己的資料。
如果2者相符,就代表自己的資料已被洩露,這時候Chrome就會警告使用者,並建議更換密碼,以確保帳號的安全。
ADVERTISEMENT
使用者可以在Chrome的「同步與Google服務」選項中開啟或關閉這個功能,以安全的考量來說,當然是建議維持功能開啟,並在收到警告的第一時間就更換密碼。
ADVERTISEMENT