兩款主流的瀏覽器微軟Edge和谷歌Chrome正在推出新的功能，它們表示，如果用戶的密碼因網(wǎng)站漏洞或數(shù)據(jù)庫(kù)被攻擊而泄露，該功能將及時(shí)地通知用戶。

Edge和Chrome的這一行為標(biāo)志著瀏覽器將更大程度地推動(dòng)解決困擾安全行業(yè)的 "密碼問(wèn)題"。在過(guò)去的兩年里，各大瀏覽器(包括Mozilla Firefox)都推出了內(nèi)置工具，幫助用戶識(shí)別出因數(shù)據(jù)泄露而受影響的密碼，并讓用戶能夠輕松地進(jìn)行修改。

[[378700]]

微軟的Password Monitor

微軟表示，其下一個(gè)版本的Edge(88.0.705.50版本)在發(fā)現(xiàn)用戶密碼泄露后將會(huì)發(fā)出警報(bào)。這款名為Password Monitor的工具根據(jù)已知被泄露的憑證的數(shù)據(jù)庫(kù)檢查用戶的密碼。如果保存在瀏覽器中的密碼與泄露憑證列表中的密碼相符，Password Monitor就會(huì)向用戶發(fā)出警報(bào)，并提示用戶更換密碼。

微軟表示："為了確保安全和隱私，當(dāng)用戶密碼與泄露的憑證數(shù)據(jù)庫(kù)進(jìn)行核對(duì)時(shí)，會(huì)對(duì)密碼進(jìn)行哈希和加密處理。"

此外，微軟最新的Edge瀏覽器將內(nèi)置一個(gè) "強(qiáng)密碼生成器"，它希望這能促使網(wǎng)民在注冊(cè)新賬戶或更改密碼時(shí)使用強(qiáng)密碼。

安全專家對(duì)這一新功能表示很贊賞。KnowBe4的安全意識(shí)倡導(dǎo)者Erich Kron告訴Threatpost："它使得潛在的受害者在密碼泄露事件影響到他們之前能夠及時(shí)更改密碼。希望這能提醒大家不要在多個(gè)服務(wù)中使用相同的密碼。"

谷歌Chrome的最新密碼保護(hù)政策

同時(shí)，谷歌在本周宣布，他們將在未來(lái)幾周后推出的Chrome 88中引入新的功能，加強(qiáng)密碼保護(hù)措施 。Chrome 88將允許用戶啟動(dòng)一個(gè)檢查功能，識(shí)別輸入的密碼是否是弱密碼，并 "很方便的將其轉(zhuǎn)換成強(qiáng)密碼"。在他們的瀏覽器頂部點(diǎn)擊密碼和 "檢查密碼"，用戶能夠輕松地檢查他們的密碼是否已經(jīng)被泄露。如果需要的話，還可以在同一頁(yè)面中編輯他們的密碼，使用更安全的強(qiáng)密碼，

Chrome瀏覽器會(huì)在用戶密碼泄露時(shí)發(fā)出警報(bào)，并提示用戶更換密碼，這個(gè)功能的設(shè)計(jì)初衷是希望能夠讓用戶在一個(gè)地方輕松管理多個(gè)用戶名和密碼。

谷歌說(shuō)："這就是為什么從Chrome 88開(kāi)始，你就可以在windows和iOS上的Chrome中更快、更方便地管理所有密碼(Chrome的Android應(yīng)用也將很快獲得這一功能)，"

包括2020年推出的Safety Check在內(nèi)，Chrome還對(duì)現(xiàn)有的密碼保護(hù)工具進(jìn)行了更新。它可以告訴Chrome用戶他們?cè)跒g覽器中記住的密碼是否已經(jīng)被泄露。谷歌表示，由于Safety Check的存在，我們發(fā)現(xiàn)Chrome中的憑證泄露數(shù)量減少了37%。

沒(méi)有良好的密碼使用習(xí)慣

隨著數(shù)據(jù)泄露事件不斷地發(fā)生，攻擊者獲取了大量的登錄憑證。然而，數(shù)據(jù)泄露事件并沒(méi)有使消費(fèi)者改變過(guò)去的密碼使用習(xí)慣。事實(shí)上，2020年的一項(xiàng)調(diào)查發(fā)現(xiàn)，即使我們經(jīng)常在新聞中聽(tīng)到數(shù)據(jù)泄露的消息，但仍然有一半的受訪者表示在過(guò)去一年中沒(méi)有修改過(guò)他們的密碼。這種 "密碼問(wèn)題 "多年來(lái)一直是安全行業(yè)面臨的的重大挑戰(zhàn)，公司也一直在努力解決密碼重復(fù)使用或者使用弱密碼等問(wèn)題。更糟糕的是，受害者習(xí)慣在各個(gè)平臺(tái)上使用重復(fù)的密碼，發(fā)生數(shù)據(jù)泄露之后，網(wǎng)絡(luò)攻擊者會(huì)使用密碼在網(wǎng)上進(jìn)行撞庫(kù)操作。

Kron說(shuō)："密碼泄露問(wèn)題是一個(gè)非常重大的安全問(wèn)題，從數(shù)據(jù)泄露到勒索軟件或其他惡意軟件感染，一切都和它有關(guān)。這在很大程度上是由于憑證填充攻擊造成的。網(wǎng)絡(luò)犯罪分子從以前的漏洞中獲取用戶名和密碼，并嘗試在其他服務(wù)上使用它們。因?yàn)榉缸锓肿又廊藗兞?xí)慣在多個(gè)服務(wù)中使用相同的密碼，這樣攻擊成功的幾率是很大的。"

Tripwire安全研究高級(jí)總監(jiān)Lamar Bailey表示，密碼是 "網(wǎng)絡(luò)安全中的最致命的弱點(diǎn)"。

Bailey說(shuō)："絕大多數(shù)的安全事故都是由弱密碼的或重復(fù)使用的密碼引起的，我們的大腦無(wú)法詳細(xì)的記住我們?cè)L問(wèn)過(guò)的每個(gè)網(wǎng)站和服務(wù)的密碼是多少。使用第三方密碼庫(kù)成為解決這個(gè)問(wèn)題的最好方法。隨著瀏覽器版本的更新，Chrome和Edge將通過(guò)提供一些更好的密碼功能與這些第三方產(chǎn)品進(jìn)行競(jìng)爭(zhēng)。"

本文翻譯自：

https://threatpost.com/microsoft-edge-google-chrome-roll-out-password-protection-tools/163272/