Edge和Chrome的这一行为标志着浏览器将更大程度地推动解决困扰安全行业的 "密码问题"。在过去的两年里,各大浏览器(包括Mozilla Firefox)都推出了内置工具,帮助用户识别出因数据泄露而受影响的密码,并让用户能够轻松地进行修改。
微软的Password Monitor
微软表示,其下一个版本的Edge(88.0.705.50版本)在发现用户密码泄露后将会发出警报。这款名为Password Monitor的工具根据已知被泄露的凭证的数据库检查用户的密码。如果保存在浏览器中的密码与泄露凭证列表中的密码相符,Password Monitor就会向用户发出警报,并提示用户更换密码。
微软表示:"为了确保安全和隐私,当用户密码与泄露的凭证数据库进行核对时,会对密码进行哈希和加密处理。"
此外,微软最新的Edge浏览器将内置一个 "强密码生成器",它希望这能促使网民在注册新账户或更改密码时使用强密码。
安全专家对这一新功能表示很赞赏。KnowBe4的安全意识倡导者Erich Kron告诉Threatpost:"它使得潜在的受害者在密码泄露事件影响到他们之前能够及时更改密码。希望这能提醒大家不要在多个服务中使用相同的密码。"
谷歌Chrome的最新密码保护政策
同时,谷歌在本周宣布,他们将在未来几周后推出的Chrome 88中引入新的功能,加强密码保护措施 。Chrome 88将允许用户启动一个检查功能,识别输入的密码是否是弱密码,并 "很方便的将其转换成强密码"。在他们的浏览器顶部点击密码和 "检查密码",用户能够轻松地检查他们的密码是否已经被泄露。如果需要的话,还可以在同一页面中编辑他们的密码,使用更安全的强密码,
Chrome浏览器会在用户密码泄露时发出警报,并提示用户更换密码,这个功能的设计初衷是希望能够让用户在一个地方轻松管理多个用户名和密码。
谷歌说:"这就是为什么从Chrome 88开始,你就可以在windows和iOS上的Chrome中更快、更方便地管理所有密码(Chrome的Android应用也将很快获得这一功能),"
包括2020年推出的Safety Check在内,Chrome还对现有的密码保护工具进行了更新。它可以告诉Chrome用户他们在浏览器中记住的密码是否已经被泄露。谷歌表示,由于Safety Check的存在,我们发现Chrome中的凭证泄露数量减少了37%。
没有良好的密码使用习惯
随着数据泄露事件不断地发生,攻击者获取了大量的登录凭证。然而,数据泄露事件并没有使消费者改变过去的密码使用习惯。事实上,2020年的一项调查发现,即使我们经常在新闻中听到数据泄露的消息,但仍然有一半的受访者表示在过去一年中没有修改过他们的密码。这种 "密码问题 "多年来一直是安全行业面临的的重大挑战,公司也一直在努力解决密码重复使用或者使用弱密码等问题。更糟糕的是,受害者习惯在各个平台上使用重复的密码,发生数据泄露之后,网络攻击者会使用密码在网上进行撞库操作。
Kron说:"密码泄露问题是一个非常重大的安全问题,从数据泄露到勒索软件或其他恶意软件感染,一切都和它有关。这在很大程度上是由于凭证填充攻击造成的。网络犯罪分子从以前的漏洞中获取用户名和密码,并尝试在其他服务上使用它们。因为犯罪分子知道人们习惯在多个服务中使用相同的密码,这样攻击成功的几率是很大的。"
Tripwire安全研究高级总监Lamar Bailey表示,密码是 "网络安全中的最致命的弱点"。
Bailey说:"绝大多数的安全事故都是由弱密码的或重复使用的密码引起的,我们的大脑无法详细的记住我们访问过的每个网站和服务的密码是多少。使用第三方密码库成为解决这个问题的最好方法。随着浏览器版本的更新,Chrome和Edge将通过提供一些更好的密码功能与这些第三方产品进行竞争。"
本文翻译自:
https://threatpost.com/microsoft-edge-google-chrome-roll-out-password-protection-tools/163272/