Password Checkupは、安全でないユーザー名またはパスワードについてユーザーに通知する、GoogleによるGoogle Chrome Webブラウザーの新しいブラウザー拡張機能です。
インターネットユーザーは、パスワードの強度をテストし、自分のアカウントのいずれかがリークに含まれているかどうかを調べることに関して、いくつかの選択肢があります。
Have I Been Pwnedデータベースは、おそらく漏洩したパスワードの最大の公開データベースです。 64億を超えるアカウントで構成されており、データベースに対してアカウントのメールアドレスまたはパスワードを確認できます。
一部のパスワードマネージャーはパスワードチェックをサポートしています。 私のお気に入りのツールであるKeePassはこれをサポートしているため、漏洩したパスワードが危険にさらされていると見なす必要があるため、データベースに対してすべてのパスワードをローカルでチェックしてパスワードの変更が必要なアカウントを明らかにできます。
Googleによるパスワードチェック
Googleのパスワードチェックアップソリューションは、Chrome拡張機能として利用できます。 Chromeブラウザの統合パスワードマネージャーでのみ機能し、LastPassや1Passwordなどのサードパーティのパスワードマネージャーを使用している場合は機能しません。
パスワード検査では、安全でない資格情報をユーザーに通知する際に別のシステムが使用されます。
40億を超えるパスワードのデータベースに対してサインインが発生すると、インターネット上のアカウントへのサインインに使用されるパスワードをチェックします。
Googleは、漏えいしたユーザー名とパスワードのリストをハッシュ化および暗号化された形式で維持し、それらが認識されるたびに新しい資格情報を追加します。
同社は、データの機密性が高いため、拡張機能とシステムはプライバシーを念頭に置いて設計されていると述べています。 この拡張機能は、「[..]個人情報をGoogleに決して公開しない」ように設計されており、「攻撃者がPassword Checkupを悪用して安全でないユーザー名とパスワードを公開することを防ぎます」。
ユーザーがサイトにサインインすると、パスワード検査はユーザー名のハッシュ化および暗号化されたコピーをGoogleに送信します。 安全でない資格情報のデータベースを検索するために、目隠しと個人情報の取得を使用するGoogle。 Googleによると、データ侵害でユーザー名またはパスワードが漏洩したかどうかを判断する最終チェックはローカルで行われます。
ユーザー名またはパスワードがオンラインで漏洩していることが判明した場合、ブラウザ拡張機能は実用的な情報を表示します。 ユーザーはその場でパスワードを変更するよう求められますが、特定のサイトの検出結果を無視することもできます。
Googleは、今後数か月で拡張機能を改良する予定です。 詳細については、Googleセキュリティブログの投稿をご覧ください。
終わりの言葉
パスワード検査は、大部分のパスワード漏洩チェッカーに対して異なるアプローチを使用しています。 ユーザーがサイトにサインインする場合にのみ、ユーザー名とパスワードがチェックされます。 それは、数十または数百のサイトでパスワードを変更しなければならないことに伴うストレスの一部を取りますが、ユーザーが資格情報の問題に気付かないか、長期間後になってしまうことを意味します。
さらに、Googleは独自のデータセットを使用しているため、漏洩したパスワードまたはユーザー名はGoogleのデータベースではなく、インターネット上のHave I Been Pwndsまたは他のユーザーで見つかります(またはその逆)。 簡単なテストでは、Googleが一部のアカウントの侵害を検出しなかった一方で、「私はPwnedを実行しました」が検出されたことが示されました。
Googleは、漏洩した資格情報のデータベースに対して保存されているすべてのユーザー名とパスワードをチェックするオプションを追加することにより、拡張機能の問題のいくつかを解決できます。
Now You:これまでのパスワードチェックの印象はどうですか?