V2EX › sudo123 的所有回复 › 第 2 页 / 共 28 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 2 3 4 5 6 7 8 9 10 ... 28

❮

❯

6 天前

回复了 drymonfidelia 创建的主题 › 浏览器 › 除了 Brave 和 Safari 外是不是没有能做到兼顾隐私和安全的浏览器了？ Safari 的 Lockdown Mode 和 Brave 关闭 V8 optimizer 相比哪个更安全？

ungoogled-chromium 吧，目前在用

6 天前

回复了 omz 创建的主题 › 程序员 › Gmail 虽好，但主力邮箱感觉还是要 Outlook

用第三方客户端（比如雷鸟）不就完事了

6 天前

回复了 CKAJ555 创建的主题 › 健康 › 兄弟们血糖都高吗

控制饮食吧，二甲双胍没啥用其实

6 天前

回复了 storezhang 创建的主题 › Brave › 求 Brave 浏览器的数据同步方案

@storezhang brave 的官方同步功能跟谷歌一样需要梯子。否则的话可以用同步类插件实现比如 floccus ，xBrowserSync 。或者自己手动备份好书签和密码就行了。

6 天前

回复了 storezhang 创建的主题 › Brave › 求 Brave 浏览器的数据同步方案

@lengyuqu 不是你说的这么回事，去看看官方文档，其实就是加密上传到 brave 的服务器

7 天前

回复了 wojiugaiming 创建的主题 › 问与答 › 求推荐长续航平板

Oukitel RT7 Titan 32000 毫安长续航户外三防智能平板 5G 通信

8 天前

回复了 hellopz 创建的主题 › 随想 › 我觉得豆包手机是大势所趋

realme 手机 2020 年就有这种 ai 助手了

8 天前

回复了 a49666 创建的主题 › Bitcoin › 只要记住一句话:2100 年比特币存活的概率高于美元和人民币

经济学专家：比特币有价格而无价值☺

9 天前

回复了 leoztodo 创建的主题 › 职场话题 › 工作不太忙的时候，你们都怎么偷偷学习的？

趁早掌握铁人三项技术

9 天前

回复了 Motter 创建的主题 › 问与答 › 兄弟们看新闻都用什么软件，求推荐。

关键是你要看哪种新闻

10 天前

回复了 qianyidui5 创建的主题 › 问与答 › 大伙都用的是什么鼠标？什么价格，手感如何？

就联想的普通款

10 天前

回复了 RIckV2 创建的主题 › 问与答 › 网易云音乐会员去哪里买比较便宜？

https://tonzhon.com/ 这个免费听

10 天前

回复了 nottellyou 创建的主题 › 问与答 › 目前看小说有什么好用的 app

别看了，浪费时间

10 天前

回复了 sudo123 创建的主题 › Chrome › Google 密码管理工具可以检查出已泄露的密码，这是什么原理？

Google 密码管理器（ Google Password Manager ）中的“密码检查”（ Password Checkup ）功能，能够检测您的密码是否出现在已知的公开数据泄露事件中。其核心原理与安全性如下：

### 一、检测已泄露密码的原理

Google 采用的是 Google 密码检查（ Password Checkup ）技术，该技术最早于 2019 年以独立浏览器扩展形式发布，后内置到 Chrome 和 Google 账号中。其核心使用了以下三种关键技术相结合，确保既能检测泄露又不暴露您的真实密码：

1. **用户名与密码的强哈希 + 截断**
- 您的用户名（通常是邮箱）和密码不会以明文发送给 Google 。
- 系统先在本地对用户名和密码进行强哈希（目前使用 SHA-256 或更强的算法），然后只取哈希值的前缀（通常前 2 ～ 4 个字节，即 16 ～ 32 位）。
- 只有这个极短的前缀会被发送到 Google 服务器。

2. **匿名化混淆技术（ k-Anonymity ）**
- Google 服务器只会返回这一前缀对应的所有完整哈希值集合（可能有几千到几万条）。
- 您的设备从本地下载这几千条完整的哈希值后，再在本地进行精确比对。
- Google 服务器根本不知道您具体查询的是哪一条完整哈希，因此无法反推出您的真实密码。

3. **数据来源**
- Google 与 Have I Been Pwned （ HIBP ）等多个公开泄露数据库合作，同时也收集自己发现的泄露事件。
- 所有泄露数据均只保留用户名+密码的哈希值（通常是 bcrypt 、SHA-1 、MD5 等），明文早已被丢弃。
- Google 还会定期接收网络上新出现的泄露数据包并更新数据库。

总结流程：
您的设备 → 本地计算哈希前缀 → 发送前缀给 Google → Google 返回该前缀对应的数千条完整哈希 → 本地精确比对 → 发现完全匹配则警告您。

整个过程中，Google 服务器只看到一个模糊的前缀，无法知道您的完整密码，甚至无法知道您具体查的是哪一个账号。

### 二、这个功能安全吗？

从目前公开的技术评估来看，该功能是目前业界最安全的“批量泄露密码检测”方案之一，主要依据如下：

- **顶级密码学专家审查**
- 该方案由 Google 与斯坦福大学密码学专家合作设计，2019 年发表在 USENIX Security 会议上，受到广泛好评。
- 目前 Firefox 、1Password 、Dashlane 等多家主流密码管理器也采用了几乎相同的 HIBP k-Anonymity API 。

- **实际隐私风险极低**
- 即使 Google 服务器被攻破，黑客也只能拿到“哈希前缀→完整哈希列表”的映射表，无法反推任何用户的真实密码。
- 即使有人截获了网络流量，也只能看到一个短前缀（几字节），碰撞概率极高，无法定位具体账号。

- **与直接使用 Have I Been Pwned 的对比**
- 直接在 HIBP 网站输入密码是最不安全的（明文上传）。
- 使用 HIBP 官方提供的 k-Anonymity API （ Google 、Firefox 等都在用）才是安全的。

### 三、结论与建议

Google 密码管理器的“检查泄露密码”功能在技术上是目前最成熟、最安全的实现之一，远比自己去各种网站一个个查要安全得多。

您可以放心开启并使用该功能。唯一需要注意的常规安全建议仍是：
- 为重要账号开启双因素认证（ 2FA ）
- 不要在多个网站重复使用同一密码
- 定期使用该功能检查一次

如果您对隐私极度敏感，也可以改用同样采用 HIBP k-Anonymity API 的离线工具（如 1Password Watchtower 、Bitwarden 的泄露检测、Firefox Monitor ），原理和安全性基本一致。

10 天前

回复了 xiaochuaner 创建的主题 › 上海 › 毕业选城市了，可以聊聊对上海的感受吗？

你又不买房定居随便咯

11 天前

回复了 mingtdlb 创建的主题 › 问与答 › 移动硬盘装系统

再整台 win 的迷你主机，远程连接使用

11 天前

回复了 mingtdlb 创建的主题 › 问与答 › 移动硬盘装系统

不靠谱，移动硬盘接口不慎动一下就可能挂了

11 天前

回复了 az2022 创建的主题 › Windows › Win11 太坑了！

系统集成的没用的东西太多，已经回 win10 了