首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  sudo123  ›  全部回复第 1 页 / 共 26 页
回复总数  513
1  2  3  4  5  6  7  8  9  10 ... 26  
24 分钟前
回复了 sudo123 创建的主题 Chrome Google 密码管理工具可以检查出已泄露的密码,这是什么原理?
Google 密码管理器( Google Password Manager )中的“密码检查”( Password Checkup )功能,能够检测您的密码是否出现在已知的公开数据泄露事件中。其核心原理与安全性如下:

### 一、检测已泄露密码的原理

Google 采用的是 Google 密码检查( Password Checkup )技术,该技术最早于 2019 年以独立浏览器扩展形式发布,后内置到 Chrome 和 Google 账号中。其核心使用了以下三种关键技术相结合,确保既能检测泄露又不暴露您的真实密码:

1. **用户名与密码的强哈希 + 截断**
- 您的用户名(通常是邮箱)和密码不会以明文发送给 Google 。
- 系统先在本地对用户名和密码进行强哈希(目前使用 SHA-256 或更强的算法),然后只取哈希值的前缀(通常前 2 ~ 4 个字节,即 16 ~ 32 位)。
- 只有这个极短的前缀会被发送到 Google 服务器。

2. **匿名化混淆技术( k-Anonymity )**
- Google 服务器只会返回这一前缀对应的所有完整哈希值集合(可能有几千到几万条)。
- 您的设备从本地下载这几千条完整的哈希值后,再在本地进行精确比对。
- Google 服务器根本不知道您具体查询的是哪一条完整哈希,因此无法反推出您的真实密码。

3. **数据来源**
- Google 与 Have I Been Pwned ( HIBP )等多个公开泄露数据库合作,同时也收集自己发现的泄露事件。
- 所有泄露数据均只保留用户名+密码的哈希值(通常是 bcrypt 、SHA-1 、MD5 等),明文早已被丢弃。
- Google 还会定期接收网络上新出现的泄露数据包并更新数据库。

总结流程:
您的设备 → 本地计算哈希前缀 → 发送前缀给 Google → Google 返回该前缀对应的数千条完整哈希 → 本地精确比对 → 发现完全匹配则警告您。

整个过程中,Google 服务器只看到一个模糊的前缀,无法知道您的完整密码,甚至无法知道您具体查的是哪一个账号。

### 二、这个功能安全吗?

从目前公开的技术评估来看,该功能是目前业界最安全的“批量泄露密码检测”方案之一,主要依据如下:

- **顶级密码学专家审查**
- 该方案由 Google 与斯坦福大学密码学专家合作设计,2019 年发表在 USENIX Security 会议上,受到广泛好评。
- 目前 Firefox 、1Password 、Dashlane 等多家主流密码管理器也采用了几乎相同的 HIBP k-Anonymity API 。

- **实际隐私风险极低**
- 即使 Google 服务器被攻破,黑客也只能拿到“哈希前缀→完整哈希列表”的映射表,无法反推任何用户的真实密码。
- 即使有人截获了网络流量,也只能看到一个短前缀(几字节),碰撞概率极高,无法定位具体账号。

- **与直接使用 Have I Been Pwned 的对比**
- 直接在 HIBP 网站输入密码是最不安全的(明文上传)。
- 使用 HIBP 官方提供的 k-Anonymity API ( Google 、Firefox 等都在用)才是安全的。

### 三、结论与建议

Google 密码管理器的“检查泄露密码”功能在技术上是目前最成熟、最安全的实现之一,远比自己去各种网站一个个查要安全得多。

您可以放心开启并使用该功能。唯一需要注意的常规安全建议仍是:
- 为重要账号开启双因素认证( 2FA )
- 不要在多个网站重复使用同一密码
- 定期使用该功能检查一次

如果您对隐私极度敏感,也可以改用同样采用 HIBP k-Anonymity API 的离线工具(如 1Password Watchtower 、Bitwarden 的泄露检测、Firefox Monitor ),原理和安全性基本一致。
9 小时 54 分钟前
回复了 xiaochuaner 创建的主题 上海 毕业选城市了,可以聊聊对上海的感受吗?
你又不买房定居随便咯
15 小时 23 分钟前
回复了 mingtdlb 创建的主题 问与答 移动硬盘装系统
再整台 win 的迷你主机,远程连接使用
15 小时 24 分钟前
回复了 mingtdlb 创建的主题 问与答 移动硬盘装系统
不靠谱,移动硬盘接口不慎动一下就可能挂了
1 天前
回复了 az2022 创建的主题 Windows Win11 太坑了!
系统集成的没用的东西太多,已经回 win10 了
3 天前
回复了 AlwaysRich 创建的主题 信息安全 观此贴有感(在正文),对于普通人来说,怎么判断正在使用的浏览器插件,油猴脚本,电脑手机各种 app 是不是安全的,不泄露数据,不窃取隐私
就看开不开源 https://www.gnu.org/proprietary/proprietary.html
3 天前
回复了 zhengwenk 创建的主题 Windows win11 自动升级完 所有蓝牙设备都异常了
重置吧,重置后正常就关闭更新
3 天前
回复了 twofox 创建的主题 Windows 吐槽一下 Windows 七月更新的 BUG
@mopengfei 微软输入法可以打顿号吗
5 天前
回复了 aptupdate 创建的主题 信息安全 笑不出来,用了好多年的 Infinity 新标签页 疑似被投毒
不开源的东西都有可能有问题
7 天前
回复了 snowmanjl 创建的主题 NAS 求助帖,各位 v 友的 nas 都是通过什么来备份的。
很简单,充钱,再买 2 个同样的 nas
7 天前
回复了 importmeta 创建的主题 分享发现 Gemini 奇葩减肥话题不给答案
为啥都在吹 Gemini ,我觉得 Grok 是最好用的
7 天前
回复了 allendavis 创建的主题 Windows windows11 现在这么糙了吗?
自带输入法没法输入顿号
9 天前
回复了 euph 创建的主题 分享发现 清理 C 盘,把系统整挂了后,居然有意外收获
直接上 2T 的 c 盘再也不怕
10 天前
回复了 nanajj 创建的主题 香港 香港火灾已致 44 人遇难,失联 200+
主要是易燃物引起的,纯水泥钢筋很难着火
11 天前
回复了 CodeY99 创建的主题 程序员 WSL 使用过程中总断开,将 windows 换为 Ubuntu 是否是个好的选择
可以换吧,再买个旧电脑装 win 做备用机
12 天前
回复了 neversink 创建的主题 Bitcoin 定投比特币操作细节请教
看看交易所有类似功能比如 gate ,你充进一笔 u ,可以设置定期买入多少 b
13 天前
回复了 cml2052 创建的主题 职场话题 工作 offer 求助
要毛个人生活,干活攒钱就完事了,别买房省着点花
14 天前
回复了 idragonet 创建的主题 职场话题 给领导说了 我说性格孤僻 食堂不和同事一起就餐
你领导是对的。
14 天前
回复了 stark123 创建的主题 问与答 有可乐瘾的朋友们是如何戒的?
我觉得戒不了,跟性欲一样,越压抑反弹越大,尽量喝无糖的,其次每次有喝可乐的想法时转移注意力到做其他事情
15 天前
回复了 refsdiary 创建的主题 问与答 为什么景区,服务区,游乐场的东西这么贵??
就是垄断抢钱怎么着
1  2  3  4  5  6  7  8  9  10 ... 26  
关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   Solana   ·   5017 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 46ms · UTC 03:52 · PVG 11:52 · LAX 19:52 · JFK 22:52
♥ Do have faith in what you're doing.