Google将其密码检查功能添加到Android中,使移动操作系统成为最新的公司产品,为用户提供了一种简便的方法来检查他们使用的密码是否受到威胁。
密码检查通过检查进入应用程序的凭据与近年来发生的无数网站漏洞中泄露的数十亿个凭据的列表来工作。如果存在匹配,则用户会收到警报,并获得提示,可以将他们带到Google的密码管理器页面,该页面提供了一种查看所有已保存凭据安全性的方法。
Google于2019年初推出了Chrome扩展程序形式的密码检查。同年10月,该功能进入了Google密码管理器,它是一个仪表板,用于检查Chrome中保存的使用Google帐户同步的Web密码。两个月后,该公司将其添加到Chrome。 Google的密码管理器可让用户轻松地通过点击"更改密码"来使用错误的密码直接访问网站。每个受破坏或弱密码旁边显示的按钮。密码管理器可从任何浏览器访问,但仅当用户使用其Google帐户密码(而非可选的独立密码)同步凭据时,该密码管理器才能工作。
自9月2日起,新的密码检查功能在Android 9及更高版本上适用于自动填充Android的用户,该功能可自动添加密码,地址,付款明细以及通常输入到Web和应用程序表单中的其他信息。
Android自动填充框架使用高级加密来确保密码和其他信息仅对授权用户可用。只有在以下情况下,Google才有权访问用户凭据:1)用户已将凭据保存到其Google帐户,2)Android OS提供了保存新凭据并选择将其保存到他们的帐户的权限。
当用户通过将密码填写到表单中或进行首次保存来与密码进行交互时,Google会使用与Chrome浏览器中的“隐私检查”相同的加密功能,以检查凭据是否属于已知的已泄露密码列表中。 Web应用程序界面仅发送使用Argon2函数加密散列的密码,以创建使用椭圆曲线加密技术加密的搜索关键字。
仅凭证的加密散列会离开设备(散列的前两个字节未加密地发送以对数据库进行分区)
服务器返回共享相同前缀的已知违背凭据的加密哈希列表
凭据是否被违反的实际确定发生在用户设备的本地
服务器(Google)无法访问用户密码的未加密哈希,而客户端(用户)无法访问可能违反凭证的未加密哈希列表
另外,周二Google提醒用户去年9月向Android自动填充功能添加的其他两项安全功能。第一个是密码生成器,它将自动选择一个强大而独特的密码并将其保存到用户的Google帐户中。可以通过长按密码字段并在弹出菜单中选择“自动填充”来访问生成器。
用户还可以将Android自动填充配置为要求生物特征认证,然后再将凭据或付款信息添加到应用或网站字段。可以在自动填充Google设置中启用生物特征认证。