谷歌近日為Chrome推出了一個新擴展，能夠自動檢查用戶的密碼是否安全。儘管早有第三方開發者提供類似的功能，但官方的介入，顯然更加可靠一些。簡而言之，在安裝該擴展之後，它會檢查用戶的所有登錄信息，將憑證與已洩露的數據庫想匹配，然後給出密碼是否安全的提示。

谷歌表示，該功能支持全美“大多數”站點。匹配數據庫中包含了大約40 億組用戶名和密碼，如果不幸撞到，會及時向用戶發出警告。

密碼洩露確實不幸，尤其是那些在各個服務平台上使用唯一用戶名或密碼的用戶。

即便某曝出了數據洩露，很多人也不會修改所有其它網站的密碼。

需要指出的是，在將客戶端密碼發送至匹配服務器之前，Chrome會將數據進行哈希加密處理。

谷歌表示，鑑於密碼檢查依賴於機密的信息，所以該公司非常重視加密安全，確保無人能夠查詢用戶的數據。

數據庫中的密碼以散列和加密的形式存儲，且生成的有關的任何警告，都是都完全在用戶的計算機本地完成的。

在谷歌之前，還有1Password 等強大的密碼管理器提供了類似的服務（集成Watchtower，可將用戶密碼與Have I Been Pwned 的洩露數據庫作比較）。

好處是，谷歌的擴展程序是免費的。如果您發現其中一個站點的密碼被洩露，就可以藉助Chrome 內置的密碼生成器，來生成一個新的密碼。

當然，網絡信息安全是一場永不停止的攻防戰。即便運用瞭如上措施（加上雙因素認證），也無法保證萬無一失（有其局限性）。

像WebAuthn 這樣的標準，就強制要求採用硬件令牌來替代密碼。它看起來很有前景，但目前只有極少的網站支持該表組合呢，因此未能真正普及開來。

有鑑於此，我們還是只能重複已有的建議—— 使用靠譜的密碼管理器、為每個站點創建唯一的密碼、在聽到數據洩露的第一時間修改任何受影響的網站服務密碼、並適當啟用雙因素認證。

Password Checkup擴展，下載地址（Chrome網上應用店）