谷歌周二发布了其Chrome浏览器的更新,其中包含了一系列新的安全功能。
Chrome 79.0.3945.79具有51个安全修复程序。与早期版本相比,它提供了改进的密码保护,实时网络钓鱼保护以及网络钓鱼预测工具。
KnowBe4的安全意识倡导者James McQuiggan指出,与过去的Chrome版本相比,有五十一个安全修复程序是很多的,它表明Google意识到了这些问题,并已采取措施进行修复。
具有多个Chrome配置文件的用户将看到正在使用文件的新外观,以便将密码保存到正确的配置文件中。这不会更改其当前的同步设置。
个人资料菜单可简化切换过程,并清楚显示用户是否已登录Chrome。
Chrome 79还具有制表符冻结功能,可以减少CPU和RAM的消耗并节省电池寿命,并且可以缓存“后退”和“前进”历史记录以更快地加载网站。
为开发人员的提供新功能包括可屏蔽图标,Web XR,新来源的试用版和Wake Lock。
Chrome 79将在接下来的几周内针对Windows,Mac和Linux陆续推出。
安全是口号
为了确保您的上网安全,当您在网站上键入用户名和密码时,@googlechrome现在会发出警告。我们还增强了网络钓鱼防护,使其可以在桌面上实时显示,以在访问恶意网站时向您发出警报。
-Sundar Pichai(@sundarpichai)2019年12月10日
当用户在网站上输入其证书时,如果他们的信息被盗,Chrome 79会发出警告。这是用户Google帐户中的密码检查功能的改进,可以在Chrome设置中进行控制。
该浏览器在用户的桌面上提供了实时网络钓鱼防护,并提供了增强的预测性网络钓鱼防护,可在Chrome用户向可疑的网络钓鱼网站输入Google帐户密码时向他们发出警告,即使他们未启用同步也是如此。
网络钓鱼防护功能适用于Chrome密码管理器中存储的所有密码。
McQuiggan告诉TechNewsWorld:“一些商业付费的密码管理程序具有内置的密码监视功能。” “如果最终用户希望将密码与他们一起存储,那么Google将免费向他们提供此功能。”
争先恐后地追赶
Constellation Research首席分析师Liz Miller指出,诸如预测性网络钓鱼这样的功能“如今已成为当务之急”。
米勒对TechNewsWorld表示:“自从2017年对NIST 800-171进行最后一次更新以来,Google遭受了广泛的抨击,涉及到多次不合规的情况-从登录尝试限制到密码重用或复杂性标准,这已经过去了两年。” “所以他们一直在追赶。”
当在任何站点上发生电子邮件/密码泄露时,泄漏的凭据将添加到现有的公共泄露数据库中。 Google在这里的做法的对于用户来说是一个净赢(同时推荐NIST)。
-Kenn White(@kennwhite)2019年12月11日
此外,NIST现在要求对照常见或已知列表检查新密码,其中可能包括来自诸如Ashley Madison之类的漏洞网站,或是LinkedIn之类的社交媒体网站。
Mozilla长期以来一直通过其Firefox Monitor提供一项允许消费者查明其私人信息是否受到数据泄露的危害的功能。
真正的问题
更大的问题是,虽然Google一直在追赶,但“像Quantum这样的领域一直在创新和发展,”Constellation Research
的Miller指出。
当“量子加密破解的现实指日可待”时,过去被视为未来的标准是否足够?她想知道。
Constellation Research首席分析师Steve Wilson说:“这不仅与密码有关,而且与数据保护有关。
他告诉TechNewsWorld:“如果浏览器可以访问计算平台中的物理芯片和嵌入式密钥,那么我们就可以开始对所有常规电子商务交易进行数字签名,以防止无卡交易的欺诈和身份盗用。” “对密码本身的关注实际上限制了更宏观的授权问题的可见性。”
此外,威尔逊指出,在操作系统中检查密码并不一定是个好主意。
他解释说:“有些站点不需要或不值得使用很好的密码。” “对我来说,为什么这么多愚蠢的小型媒体网站都还要强迫人使用密码,这真是一个谜。如果一个网站真的不需要知道您是谁,那么为什么不使用假名,假出生日期,并以’password’作为密码?”
威尔逊说:“使用随意的免费电子邮件地址作为ID是“保护您隐私的好方法,但如果浏览器突然迫使人们为每个帐户使用严肃的密码,就会产生新的问题。 这加剧了密码疲劳,并危及人们对高价值帐户的处理。”
那些软弱的人
KnowBe4的McQuiggan指出:“技术可以阻止很多[网络钓鱼]尝试,但犯罪分子正在不断发展其攻击类型。” “技术只是防止网络钓鱼的环境的一部分;真人防火墙是另一部分。”
Constellation的Miller说,Chrome 79的新功能仅会与选择遵守和优先考虑安全性的用户一样有效。
她说:“人们有多少次忽略过期的SSL警告,而是选择“高级设置”并访问网站?我们可以进行任何数量的更新,补丁和改进,以尝试将所有鱼带到安全水中。” 说过。 “问题是,我们可以强迫他们喝水吗?”