Chrome和Edge希望帮助解决您的密码问题

2021-01-22 21:02:42

如果您和很多人一样,有人可能曾劝您使用密码管理器,但您仍然没有听从建议。现在,Chrome和Edge借助直接内置在浏览器中的功能强大的密码管理功能来抢救。

微软周四宣布为最近发布的Edge 88提供一个新的密码生成器。人们可以在注册新帐户或更改现有密码时使用该生成器。生成器在密码字段中提供一个下拉列表。单击候选者将其选择为密码,并将其保存到浏览器中内置的密码管理器中。然后,人们可以使用Edge密码同步功能将密码推送到其他设备。

正如我多年来解释的那样,使密码令人难忘且易于使用的事物与使他人易于猜测的事物相同。密码生成器是强密码最安全的来源之一。用户不必思考真正唯一且难以猜测的密码,而可以让生成器正确地进行操作。

“ Microsoft Edge提供了内置的强密码生成器,您可以在注册新帐户或更改现有密码时使用,” Microsoft Edge团队的成员写道。 “只需在“密码”字段中查找浏览器建议的密码下拉列表,选择该密码后,它将自动保存到浏览器并跨设备同步,以备将来使用。”

Edge 88还推出了称为"密码监控器的功能。顾名思义,它会监视保存的密码,以确保这些密码都不包含在通过网站入侵或网络钓鱼攻击而编制的列表中。打开时,当密码与在线发布的列表匹配时,密码监控器将警告用户。

以安全的方式检查密码是一项艰巨的任务。浏览器需要能够根据大型的,随时变化的列表检查密码,而无需向Microsoft发送敏感信息或监视用户与Microsoft之间的连接的人可能嗅探到的信息。

同态加密是一种相对较新的加密原语,它允许在不首先解密数据的情况下对加密数据进行计算。例如,假设给定了两个密文,一个加密5,另一个加密7。通常,将这些密文“相加”在一起是没有意义的。但是,如果使用同态加密对这些密文进行加密,则存在一个公共操作,“将”这些密文“相加”并返回12的加密,即5和7的总和。

首先,客户端与服务器通信以获得凭证的哈希H,其中H表示仅服务器知道的哈希函数。这可以使用称为“遗忘伪随机函数”(OPRF)的密码原语实现。由于只有服务器知道哈希函数H,因此阻止了客户端对服务器执行有效的字典攻击,这是一种使用大量可能性确定密码的强力攻击。然后,客户端使用同态加密来加密H(k)并将结果密文Enc(H(k))发送到服务器。然后,服务器在加密的凭证上评估匹配功能,获得在同一客户端密钥下加密的结果(真或假)。匹配函数的操作如下所示:computeMatch(Enc(k),D)。服务器将加密的结果转发给客户端,客户端将其解密并获得结果。

在上述框架中,主要挑战是在对加密数据评估该函数时,最大程度地降低computeMatch函数的复杂度以获得良好的性能。我们利用了许多优化措施来实现可满足用户需求的性能。

值得一提的是,Google Chrome小组的成员本周推出了自己的密码保护。其中最主要的是浏览器中内置的功能更强大的密码管理器。

Chrome小组成员写道:“ Chrome可以在您登录网站时提示您更新保存的密码。” “但是,您可能希望在一个方便的地方轻松更新多个用户名和密码。因此,从Chrome 88开始,您可以在台式机和iOS上的Chrome设置中更快,更轻松地管理所有密码(Chrome的Android应用也将很快获得此功能)。”

Chrome 88还使您更容易检查是否有已保存的密码在密码转储中丢失。去年Chrome进行了密码审核,现在可以使用类似于以下所示的安全检查来访问此功能:

与专用于浏览器的功能相比,许多人使用专用的密码管理器更加自在。例如,大多数敬业的管理人员可以轻松安全地使用骰子单词。随着浏览器和密码管理器之间的界限开始模糊,浏览器提供更高级的管理功能可能只是时间问题。