Google：1.5％網站用戶使用已外泄的憑證來登錄

Google在今年2月發布了Chrome擴展程序Password Checkup，可在用戶以遭黑憑證登錄網站時跳出通知，本周Google公布了該擴展程序上線一個月之後的成果，顯示有1.5%的用戶使用已外泄的憑證來登錄各式網站。

根據Google的統計，總計有65萬名Chrome用戶下載Password Checkup並參與該實驗，在一個月里程序總計掃描了2,100萬個用戶名與密碼，並有31.6萬組曾出現在外泄資料庫中，代表其中有1.5%的憑證是不安全的。

Password Checkup採用了Private set intersection技術，可找出兩個不同加密數據集中具備同樣身份的數據，也即能夠在加密的狀況下，比對用戶所輸入的憑證與超過40億的外泄資料庫，在發現相同數據時跳出提醒。

根據Google的分析，用戶重複利用遭外泄憑證的狀況因所訪問的網站而有所不同，例如在政府網站使用外泄憑證的比例只有0.2%，在金融網站有0.3%，在購物網站有1.2%，在新聞網站為1.9%，但在娛樂網站上使用這些外泄憑證的比例則高達6.3%。

在收到Password Checkup的提醒之後，用戶選擇重設了26%的外泄密碼，且其中有60%採用了較難被破解的強大密碼。

本周Google也在Password Checkup上添加了兩項功能，一是提供快速的評論窗口，以方便用戶回應任何問題，二是讓用戶退出匿名遙測，以避免Google搜集用戶是否變更密碼或是顯示不安全憑證的查找次數等信息。Google強調，不管是否激活遙測，Google都不會得知用戶的憑證，只是進一步提供拒絕與Google分享其它信息的選項。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！