Le nouveau fonctionnement de la protection des mots de passe dans Google Chrome

Lorsque Google apprend qu’une liste d’identifiants et de mots de passe a fuité chez une autre entreprise, ces informations sont hachées puis chiffrées avec une clé connue uniquement de Google avant d’être stockées sur le serveur. Lorsqu’un utilisateur de Chrome se connecte à un site web, les informations hachées sont à leur tour chiffrées avec une clé connue uniquement de Chrome (Google ne peut donc pas retrouver l’identifiant ni le mot de passe), puis envoyées au serveur, qui les compare à la liste précédente et indique à l’utilisateur si cet identifiant/mot de passe a été compromis.

En outre, grâce à une fonction de vérification du phishing en temps réel, les 32 premiers bits du hachage SHA-256 de l’URL consultée par l’utilisateur sont envoyés afin de vérifier s’il s’agit d’une URL de phishing (Google ne peut pas connaître l’URL complète).