“密码是互联网上最糟糕的事情之一，”谷歌负责账户安全、身份和滥用的高级主管马克里舍（markrisher）告诉《边缘报》（Verge）。尽管它们对于安全和帮助人们登录许多应用程序和网站至关重要，“但它们是人们最终受到危害的主要方式之一，如果不是主要方式的话。”

它’对于谷歌安全主管来说，这是一件奇怪的事情，因为上次你登录Gmail时，你可能输入了密码。但该公司多年来一直在试图将用户从该模式中推离，或者至少将损害降到最低。在接下来的几周里，谷歌’这是那场战斗中最安静的工具— 密码检查功能— 将获得更高的知名度，因为它加入了每个谷歌帐户内置的安全检查仪表板。

瑞舍担心是对的。虽然你可以使用一个像密码管理器这样的工具来帮助跟踪你的登录信息，但是很多人最终只是重复使用了许多帐户的密码。谷歌和调查公司哈里斯（Harris）2019年2月公布的一项民意调查结果显示，52%的人对多个账户重复使用同一密码。调查发现，13%的人在所有账户上都重复使用这个密码。而微软在2019年表示，4400万个微软账户使用了网上泄露的登录信息。

虽然重复使用密码可能是记住复杂单词、短语或字母、数字和符号组合的一种方法，但这种做法可能会使您的个人信息处于危险之中。如果重复使用的密码作为数据泄露的一部分被泄露，那么黑客就有可能拥有你许多其他在线账户的密钥——不管这个短语有多复杂。

谷歌反滥用和安全研究团队成员库尔特·托马斯说：“我们从过去所做的其他研究中知道，那些数据被泄露的人被劫持的可能性是没有被泄露的人的10倍。”。

一段时间以来，谷歌一直在努力帮助用户建立更好的密码习惯，虽然速度缓慢，但确实如此。多年来，谷歌在Chrome和Android上提供了一个内置的密码管理器，可以保存你的密码，并在网站和应用程序上自动填充密码。

但在过去一年左右的时间里，谷歌也一直致力于帮助人们主动通过密码检查来**更好的密码。该工具检查登录数据库的40亿泄漏凭据，看看你输入的密码是否匹配一个已经泄漏。它于2019年2月首次作为Chrome扩展推出，谷歌于10月将其打入谷歌账户，并于12月将其打入Chrome。

它’这并不是一个新的想法，但谷歌在提供密码检查之类的服务方面有着独特的优势。该公司可以访问数十亿个密码，并通过与许多人已经依赖的帐户安全工具集成的方式，向数十亿用户推出密码检查。

弄清楚如何让密码检查以尊重隐私的方式标记泄露的凭证是一个棘手的技术问题，需要谷歌和斯坦福共同努力。这两个组织的研究人员告诉我，面临的挑战是找到一种方法，在不向谷歌透露信息或让用户访问整个数据库的情况下，根据违规登录的数据库自动检查用户的凭据，同时将解决方案扩展到谷歌庞大的用户群。

为了做到这一点，谷歌存储了一个散列和加密版本的每个已知的用户名和密码暴露的数据泄露。每当你登录到一个帐户，谷歌会发送一个哈希和加密版本的登录信息对该数据库。这样，Google就看不到你的密码，也看不到Google已知的泄露登录列表。如果Google检测到匹配，Google将显示一个警告，建议您更改该站点的密码。

托马斯说，谷歌从“多个不同的来源和值得信任的合作伙伴”那里获得了泄露的登录信息，包括公开共享密码转储的地下论坛。“我们有一个道德政策，我们将永远不会支付罪犯的被盗数据，”他继续说。“但仅仅凭借这些市场的运作方式，（被盗数据）往往会出现泡沫并变得可用。”他说，利用谷歌在这些市场上的人物形象，谷歌可以获得这些数据。

托马斯称，密码检查从一开始到出现在许多谷歌产品中大约需要2到3年时间。接下来，谷歌希望在检测到一个存储的登录名在数据泄露中被泄露时，给你发送一封安全检查邮件，该公司计划在未来几个月内推出这项服务。今年晚些时候，谷歌的目标是让人们在Chrome中使用密码检查，即使他们没有登录到谷歌帐户。

谷歌并不是唯一一家提供某种密码检查功能的公司。Paid password manager 1Password建议更改弱密码或重复密码，还提供了Watchtower，它可以根据Troy Hunt的Have I Been Pwned数据库检查您的登录，该数据库包含超过90亿个泄露帐户，并标记任何匹配项。苹果公司昨天宣布，其下一版本的Safari将有一个密码监控工具，其工作原理似乎类似于密码检查。

但由于规模庞大，谷歌在帮助人们使用密码方面有优势。而像密码检查和内置密码管理器这样的工具可以帮助用户实现更广泛的目标，使在线安全更容易实现。

“我喜欢的安全性——我认为（密码检查）就是一个很好的例子——是，‘如何让普通人更容易做正确的事情？谷歌安全工程副总裁罗亚尔·汉森告诉《边缘报》。他说：“这不是提醒你越来越多的问题。“坦白说，这是为了让你更容易做最基本的一步。”

更新6月23日下午4:06东部时间：增加了密码检查已经可用的上下文。