兩款主流的瀏覽器微軟Edge和谷歌Chrome正在推出新的功能，它們表示，如果用戶的密碼因網(wǎng)站漏洞或數(shù)據(jù)庫被攻擊而泄露，該功能將及時(shí)地通知用戶。

Edge和Chrome的這一行為標(biāo)志著瀏覽器將更大程度地推動(dòng)解決困擾安全行業(yè)的 “密碼問題”。在過去的兩年里，各大瀏覽器（包括Mozilla Firefox）都推出了內(nèi)置工具，幫助用戶識別出因數(shù)據(jù)泄露而受影響的密碼，并讓用戶能夠輕松地進(jìn)行修改。

微軟的Password Monitor

微軟表示，其下一個(gè)版本的Edge（88.0.705.50版本）在發(fā)現(xiàn)用戶密碼泄露后將會發(fā)出警報(bào)。這款名為Password Monitor的工具根據(jù)已知被泄露的憑證的數(shù)據(jù)庫檢查用戶的密碼。如果保存在瀏覽器中的密碼與泄露憑證列表中的密碼相符，Password Monitor就會向用戶發(fā)出警報(bào)，并提示用戶更換密碼。

微軟表示：“為了確保安全和隱私，當(dāng)用戶密碼與泄露的憑證數(shù)據(jù)庫進(jìn)行核對時(shí)，會對密碼進(jìn)行哈希和加密處理。”

此外，微軟最新的Edge瀏覽器將內(nèi)置一個(gè) “強(qiáng)密碼生成器”，它希望這能促使網(wǎng)民在注冊新賬戶或更改密碼時(shí)使用強(qiáng)密碼。

安全專家對這一新功能表示很贊賞。KnowBe4的安全意識倡導(dǎo)者Erich Kron告訴Threatpost：“它使得潛在的受害者在密碼泄露事件影響到他們之前能夠及時(shí)更改密碼。希望這能提醒大家不要在多個(gè)服務(wù)中使用相同的密碼。”

谷歌Chrome的最新密碼保護(hù)政策

同時(shí)，谷歌在本周宣布，他們將在未來幾周后推出的Chrome 88中引入新的功能，加強(qiáng)密碼保護(hù)措施 。Chrome 88將允許用戶啟動(dòng)一個(gè)檢查功能，識別輸入的密碼是否是弱密碼，并 “很方便的將其轉(zhuǎn)換成強(qiáng)密碼”。在他們的瀏覽器頂部點(diǎn)擊密碼和 “檢查密碼”，用戶能夠輕松地檢查他們的密碼是否已經(jīng)被泄露。如果需要的話，還可以在同一頁面中編輯他們的密碼，使用更安全的強(qiáng)密碼，

Chrome瀏覽器會在用戶密碼泄露時(shí)發(fā)出警報(bào)，并提示用戶更換密碼，這個(gè)功能的設(shè)計(jì)初衷是希望能夠讓用戶在一個(gè)地方輕松管理多個(gè)用戶名和密碼。

谷歌說：“這就是為什么從Chrome 88開始，你就可以在windows和iOS上的Chrome中更快、更方便地管理所有密碼（Chrome的Android應(yīng)用也將很快獲得這一功能），”

包括2020年推出的Safety Check在內(nèi)，Chrome還對現(xiàn)有的密碼保護(hù)工具進(jìn)行了更新。它可以告訴Chrome用戶他們在瀏覽器中記住的密碼是否已經(jīng)被泄露。谷歌表示，由于Safety Check的存在，我們發(fā)現(xiàn)Chrome中的憑證泄露數(shù)量減少了37%。

沒有良好的密碼使用習(xí)慣

隨著數(shù)據(jù)泄露事件不斷地發(fā)生，攻擊者獲取了大量的登錄憑證。然而，數(shù)據(jù)泄露事件并沒有使消費(fèi)者改變過去的密碼使用習(xí)慣。事實(shí)上，2020年的一項(xiàng)調(diào)查發(fā)現(xiàn)，即使我們經(jīng)常在新聞中聽到數(shù)據(jù)泄露的消息，但仍然有一半的受訪者表示在過去一年中沒有修改過他們的密碼。這種 “密碼問題 ”多年來一直是安全行業(yè)面臨的的重大挑戰(zhàn)，公司也一直在努力解決密碼重復(fù)使用或者使用弱密碼等問題。更糟糕的是，受害者習(xí)慣在各個(gè)平臺上使用重復(fù)的密碼，發(fā)生數(shù)據(jù)泄露之后，網(wǎng)絡(luò)攻擊者會使用密碼在網(wǎng)上進(jìn)行撞庫操作。

Kron說：“密碼泄露問題是一個(gè)非常重大的安全問題，從數(shù)據(jù)泄露到勒索軟件或其他惡意軟件感染，一切都和它有關(guān)。這在很大程度上是由于憑證填充攻擊造成的。網(wǎng)絡(luò)犯罪分子從以前的漏洞中獲取用戶名和密碼，并嘗試在其他服務(wù)上使用它們。因?yàn)榉缸锓肿又廊藗兞?xí)慣在多個(gè)服務(wù)中使用相同的密碼，這樣攻擊成功的幾率是很大的。”

Tripwire安全研究高級總監(jiān)Lamar Bailey表示，密碼是 “網(wǎng)絡(luò)安全中的最致命的弱點(diǎn)”。

Bailey說：“絕大多數(shù)的安全事故都是由弱密碼的或重復(fù)使用的密碼引起的，我們的大腦無法詳細(xì)的記住我們訪問過的每個(gè)網(wǎng)站和服務(wù)的密碼是多少。使用第三方密碼庫成為解決這個(gè)問題的最好方法。隨著瀏覽器版本的更新，Chrome和Edge將通過提供一些更好的密碼功能與這些第三方產(chǎn)品進(jìn)行競爭。”
責(zé)編AJX