微软宣布密码监视器功能正式发布 当用户密码泄露时会收到安全警报
火狐浏览器在 2018 年时与合作机构推出密码监视器功能,当用户保存的密码发生泄露时火狐就会自动通知用户。
随后谷歌浏览器和微软浏览器也跟进这项措施,而经过很长时间的测试后微软浏览器的密码监视功能也正式上线。
微软表示现在用户使用 Microsoft Edge 浏览器即可享受此服务,监视器会定期扫描密码并检测是否存在泄露等。
该公司采取多种加密措施防止在使用监视器的过程中泄露用户密码,微软表示用户使用此功能没有其他安全风险。
要检测密码是否泄露需要提前收集各种密码,而这些密码其实就是从各大互联网公司和网站泄露的数据库里提取。
例如此前某邮箱数据库疑似被拖库、某视频网站疑似被拖库,这种都是数据库泄露往往都是数以亿计的非常庞大。
国外各种数据库泄露的也很常见并且数量可能还更多,最终这些泄露的数据库都会被收集起来然后进行分类整理。
整理完毕后就出现一个非常庞大的数据库,里面可能包含百亿计的账号和密码,平时有新数据库也会及时合并等。
火狐浏览器和谷歌浏览器的做法也是这样的,本质上密码泄露检测就是靠这些已经泄露的数据库来进行数据对比。
若对比显示用户使用的某个密码已经泄露那就发出警报,让用户尽快去修改密码防止遭到各路黑客使用撞库攻击。
用户存储在浏览器或者微软服务器里的密码理论上微软是无法读取的,因为每个账号都有特殊的密钥先进行加密。
但微软如果想要比对数据库密码是否泄露就必须将密码传出,而传出过程本身就存在着可能遭到中间人劫持风险。
所以在检测过程中微软部署多种措施,首先是将密码进行加密然后加盐,微软表示其使用使用加盐的同态加密库。
加盐加密后的密码再通过加密传输到微软的数据库里进行比对,在这个过程中不论是微软还是攻击者都无法窃取。
当然即便是攻击者成功窃取传输的数据那也是经过加密和加盐处理的并非明文,当比对成功后服务器在发出信号。
这时浏览器就会收到警告并提醒用户对已经泄露的特定密码进行修改,整个过程全程加密因此无需担心安全问题。
升级 Microsoft Edge 浏览器最新版然后转到设置的个人资料里,在个人资料里点击密码然后开启显示警报功能。
如果有密码泄露则会弹出红色提醒,点击提醒会跳转到已经泄露的密码的列表,用户根据需要即可修改对应密码。
当然修改密码需要跳转到对应的网站去处理,微软推荐进行修改时直接使用浏览器自动生成更安全的高强度密码。
这样可以避免在多个网站上使用相同的密码,使用相同的密码意味着泄露后可能会让更多网站遭到撞库安全威胁。