Googles neuer Mechanismus zum Passwortschutz in Chrome

Wenn Google erfährt, dass bei anderen Unternehmen Listen mit durchgesickerten IDs/Passwörtern aufgetaucht sind, werden diese Informationen gehasht, anschließend mit einem nur Google bekannten Schlüssel verschlüsselt und auf dem Server gespeichert. Wenn sich ein Chrome-Nutzer auf einer Website anmeldet, werden die gehashten Informationen mit einem nur Chrome bekannten Schlüssel verschlüsselt (auch Google kann daraus die ID/das Passwort nicht rekonstruieren), dann an den Server gesendet und mit der oben genannten Liste abgeglichen. Anschließend wird dem Nutzer mitgeteilt, ob diese ID/dieses Passwort offengelegt wurde.

Zusätzlich gibt es eine Funktion zur Phishing-Prüfung in Echtzeit: Dabei werden die ersten 32 Bit des SHA-256-Hashs der vom Nutzer aufgerufenen URL gesendet, um zu prüfen, ob es sich um eine Phishing-URL handelt (Google kann die vollständige URL nicht erkennen).