GoogleがChromeのPassword Checkup拡張機能を公開
パスワードチェックアップは、安全でないユーザー名やパスワードについてユーザーに通知する、GoogleによるGoogle Chrome Webブラウザーの新しいブラウザー拡張機能です。
インターネットユーザーには、パスワードの強度をテストし、自分のアカウントのいずれかがリークに含まれているかどうかを確認するときにいくつかのオプションがあります。
Have I Be Pwnedデータベースは、おそらく漏洩したパスワードの最大のパブリックデータベースです。 64億を超えるアカウントで構成されており、 アカウントのメールアドレス またはパスワード データベースに対して。
一部のパスワードマネージャはパスワードチェックをサポートしています。 私のお気に入りのツール、KeePass 、これをサポートしているので、 ローカルでデータベースに対してすべてのパスワードをチェックします 漏えいしたパスワードを侵害されたと見なす必要があるため、パスワードの変更が必要なアカウントを明らかにする。
Googleによるパスワード診断
GoogleのパスワードチェックアップソリューションはChrome拡張機能として利用できます。 Chromeブラウザの統合パスワードマネージャでのみ機能し、LastPassや1Passwordなどのサードパーティのパスワードマネージャを使用する場合は機能しません。
安全でない認証情報をユーザーに通知する場合、パスワード診断では別のシステムを使用します。
40億を超えるパスワードのデータベースに対してサインインが発生した場合、インターネット上のアカウントへのサインインに使用されるパスワードをチェックします。
Googleは、漏えいしたユーザー名とパスワードのリストをハッシュ化および暗号化された形式で保持し、それらに気づいたら新しい資格情報を追加します。
同社は、拡張機能とシステムはデータの機密性を考慮して、プライバシーを考慮して設計されたと指摘しています。拡張機能は、「個人情報をGoogleに決して公開しない」ように設計されており、「攻撃者がパスワード診断を悪用して安全でないユーザー名とパスワードを公開するのを防ぐ」ように設計されています。
パスワード診断では、ユーザーがサイトにログインすると、ハッシュ化され暗号化されたユーザー名のコピーがGoogleに送信されます。安全ではない認証情報のデータベースを検索するために、目隠しと個人情報の取得を使用するGoogle。ユーザー名またはパスワードがデータ侵害で公開されたかどうかを判断する最終チェックは、Googleに従ってローカルで行われます。
ユーザー名またはパスワードがオンラインで漏洩したことが判明した場合、ブラウザー拡張機能は実用的な情報を表示します。ユーザーはその場でパスワードを変更するように求められますが、特定のサイトの結果を無視することもできます。
Googleは今後数か月で拡張機能を改良する予定です。あなたは上の投稿をチェックすることができます Google Securityブログ 詳細については。
おわりに
Password Checkupは、そこにある大多数のパスワードリークチェッカーに対して異なるアプローチを使用しています。ユーザー名とパスワードは、ユーザーがサイトにサインインした場合にのみチェックされます。これは、数十または数百のサイトでパスワードを変更する必要があるため、ある程度のストレスはかかりますが、ユーザーが資格情報の問題に気付くことはないか、長期間しか経過しないと意味がなくなります。
さらに、Googleは独自のデータセットを使用するため、漏えいしたパスワードまたはユーザー名がGoogleのデータベースではなく、インターネット上の他のユーザー(またはその逆)に見つかる可能性があります。簡単なテストの結果、Googleは一部のアカウントの違反を検出しなかったのに対し、「I Have I Be Pwned」は検出しました。
Googleは、保存されているすべてのユーザー名とパスワードを漏えいした認証情報のデータベースと照合するオプションを追加することにより、拡張機能の問題のいくつかを解決することができます。
では、あなた: これまでのパスワード診断の印象を教えてください。