GoogleがHIBPのようなデータ侵害の影響を受けたアカウントをチェックできるChrome拡張「Password Checkup」を公開しています。詳細は以下から。
Googleは現地時間2019年02月05日、EUの”Safer Internet Day”にあわせて、過去にデータ侵害の被害にあったWebサイトから漏洩したアカウント(ユーザー名)とパスワードをチェックできるGoogle Chrome用機能拡張「Password Checkup」を公開したと発表しています。
Password Checkup は、データ侵害の影響を受けたアカウントを再び保護するうえで役立ちます。
どこでログインする際も、Google で認識されるデータ侵害が見られるために安全に利用できなくなったユーザー名やパスワードを入力した場合は、アラートが送信されます。パスワードを再設定してください。他のアカウントで同じユーザー名やパスワードを使用している場合は、そのアカウントのパスワードも再設定してください。Password Checkup – Chrome ウェブストア
Password Checkup
GoogleのSecurity Blogによると、Googleは過去2年間にサードパーティのデータ漏洩の影響を受けた1億1000万以上のGoogleアカウントのパスワードを定期的にリセットしてきたそうですが、今回公開したPassword Checkupはその様な被害に合われたGoogleアカウント以外のWebサービスでもデータ漏洩をチェックすることが可能となっており、
Today, we’re introducing two new updates that will help keep your data secure: Password Checkup, a Chrome extension that helps protect your accounts from third party data breaches, and a new feature called Cross Account Protection #saferinternetdayhttps://t.co/L4JSztM69Q pic.twitter.com/CuHKYF1Ghh
— Sundar Pichai (@sundarpichai) 2019年2月5日
We want to help you stay safe not just on Google, but elsewhere on the web as well. This is where the new Password Checkup Chrome extension can help. Whenever you sign in to a site, Password Checkup will trigger a warning if the username and password you use is one of over 4 billion credentials that Google knows to be unsafe.
Google Online Security Blog: Protect your accounts from data breaches with Password Checkup
ユーザーはPassword Checkup機能拡張をインストールして、各Webサービスへログインするだけで、実際にGoogleが所有するデータベースにヒットすると以下のように警告を表示して、パスワードの変更を行うように促します。
Google Chrome Password Checkupの例
HIBP
Password Checkupはアカウントとパスワードのチェックを”Multiple rounds of hashing”と”k-Anonymity”を利用してデータベースと比較しており、Googleはこの機能拡張をスタンフォード大学のセキュリティ研究者らと共同で開発したそうですが、この仕組は1PasswordやMozillaなどが導入したMicrosoftのセキュリティMVPであるTroy Huntさんが2016年に公開したパスワードチェックサービス「Have I been pwned?(以下、HIBP)」と「Pwned Passwords」とほぼ同じで、
漏洩したアカウント情報のデータベースもGoogleが40億以上、HIBPが60億以上となっているので、HIBPの方が情報量が多そうですが、Password CheckupはGoogle Chromeを利用しているだけで自動的にチェックを行い、Google以外のWebサイトでパスワードの漏えいが発生した場合にもPassword Checkupから通知が届くそうなので、興味のある方は利用してみてください。
パスワード診断ではプライバシーが考慮されています。パスワード診断で、アカウント、パスワード、デバイスに関する識別情報が報告されることは一切ありません。報告されるのは、安全でない認証情報が認識されたルックアップの回数、アラートを受けてパスワードが変更されたかどうか、サイト カバレッジの改善に関連するドメインに関する匿名の情報です。パスワード診断の仕組みについて詳しくは、https://support.google.com/accounts?p=password-checkup をご覧ください。
Password Checkup – Chrome ウェブストア
- Password Checkup – Chrome ウェブストア
- Google rolls out Password Checkup and Cross Account Protection – Google Blog
- Google Online Security Blog: Protect your accounts from data breaches with Password Checkup – Google Security Blog
コメント
Firefoxも欲しいなこういうの