谷歌負責賬戶安全、身份和濫用的高級主管Mark Risher表示，密碼是互聯網上最糟糕的事情之一，儘管它們對安全至關重要，並幫助人們登錄許多應用程序和網站，但是它們是用戶賬戶最終被入侵的主要方式之一。谷歌多年來一直在試圖將用戶從密碼中解放，或者至少將損害降到最低。而在未來幾週，谷歌在這場鬥爭中最安靜的工具之一-密碼檢查插件，將獲得更高的關注度，因為它加入了每個谷歌賬戶內置的安全檢查儀表板。

雖然用戶可以使用密碼管理器這樣的工具來幫助跟踪登錄信息，但很多人最終只是重複使用許多賬戶的密碼。根據谷歌和調查公司Harris在2019年2月發布的一項調查結果顯示，52%的人在多個賬戶中重複使用同一個密碼。該調查發現，有13%的人在所有賬戶中重複使用該密碼。而微軟在2019年表示，有4400萬個微軟賬戶使用了曾在網上洩露的登錄信息。

一段時間以來，谷歌一直在嘗試幫助用戶建立更好的密碼習慣，雖然緩慢，但卻很堅定。多年來，該公司在Chrome和Android上的谷歌賬戶中提供了一個內置的密碼管理器，可以保存你的密碼，並在網站和應用程序等方面自動填寫密碼。但在過去一年多的時間裡，谷歌也一直在努力通過密碼檢查工具幫助人們主動製作更好的密碼。該工具會根據數據庫中40億個洩露的憑證檢查登錄情況，看看你輸入的密碼是否與已經洩露的密碼相符。

這並不是一個新的想法，但谷歌在提供類似密碼檢查這樣的服務方面具有獨特的優勢。該公司擁有數十億密碼的訪問權限和規模，可以將密碼檢查工具與許多人已經依賴的賬戶安全工具整合，向數十億用戶推出。

如何讓Password Checkup以一種尊重隱私的方式標記洩露的憑證是一個艱難的技術問題，需要谷歌和斯坦福的共同努力。兩家機構的研究人員告訴我，他們面臨的挑戰是如何找到一種方法，在不向谷歌透露信息或讓用戶訪問整個數據庫的情況下，自動對照數據庫中被洩露的登錄信息檢查用戶的憑證，同時將該解決方案擴展到谷歌的龐大用戶群。

為此，谷歌存儲了數據洩露暴露的每個已知用戶名和密碼的哈希和加密版本。每當你登錄一個賬戶時，谷歌都會針對該數據庫發送一個哈希和加密版本的登錄信息。這樣一來，谷歌就無法看到你的密碼，你也無法看到谷歌已知被篡改的登錄列表。如果谷歌檢測到匹配，谷歌會顯示一個警告，建議你更改該網站的密碼。

谷歌從多個不同的來源和值得信賴的合作夥伴獲得洩露的登錄信息，包括公開分享密碼轉儲的地下論壇，但是谷歌永遠不會向犯罪分子為被盜數據支付金錢，但僅僅憑藉這些市場的運作方式，很多時候，被盜數據會冒出來，並成為可用的數據，利用谷歌在這些市場中的角色，谷歌可以獲得這些數據。