世界

Chromeはデータ侵害に対してパスワードを自動的にスキャンします

Googleのパスワードチェック機能は、Googleエコシステム全体に徐々に広がっています昨年。 Chromeのデスクトップバージョンの「パスワードチェック」拡張機能として開始され、入力時に個々のパスワードを監査し、数か月後にすべてのGoogleアカウントをオンデマンド監査として保存したすべてのパスワードで実行できます。現在、Chrome拡張機能の代わりに、パスワードチェックがChromeのデスクトップおよびモバイルバージョンに統合されています

ARS TECHNICA

このストーリーは元々、技術ニュース、技術ポリシー分析の信頼できるソースであるArs Technicaに掲載されました。レビューなど。 Arsは、WIREDの親会社であるCondéNastが所有しています。

これらのすべてのパスワードチェック機能は、ユーザー名とパスワードの組み合わせがChromeに保存され、Googleのサーバーに同期されます。 Googleは、すべてのパスワードの大きな(暗号化された)データベースを持っているので、長年にわたって無数のセキュリティ侵害にさらされている侵害されたユーザー名とパスワードの40億の公開リストと比較することもできると考えています。 Googleが一致するたびに、特定の資格情報セットがパブリックで安全でないこと、およびおそらくパスワードを変更する必要があることを通知します。

セキュリティのため、Googleは、暗号化された資格情報と侵害された資格情報の暗号化されたリストを比較することにより、これらすべてを行っています。 Chromeはまず、暗号化されたユーザー名の3バイトのハッシュをGoogleに送信し、Googleの侵害されたユーザー名のリストと比較されます。一致する場合、ローカルコンピューターには、Googleのキーで暗号化された、不正な資格情報リスト内の一致する可能性のあるすべてのユーザー名とパスワードのデータベースが送信されます。次に、2つのキーで暗号化されたパスワードのコピーを取得します。1つは通常の秘密キーで、もう1つはGoogleの不正な認証情報リストに使用される同じキーです。ローカルコンピューター上で、パスワードチェックアップは、解読できる唯一のキーである秘密キーを削除し、Googleキーで暗号化されたユーザー名とパスワードを残します。 Googleによると、「プライベートセット交差点」と呼ばれるこの手法は、Googleの不正な認証情報のリストが表示されないことを意味します。資格情報を取得することはできませんが、一致するものを2つ比較することができます。最もセキュリティを重視する人だけがChrome拡張機能を探してインストールするか、passwords.google.comで完全なパスワード監査を実行します。これらの人々は、おそらく最初からより良いパスワード衛生を持っています。この機能をChromeに組み込むと、通常はパスワードセキュリティを考慮していないメインストリームユーザーの前に配置されます。これはまさにこの種のことを必要とする種類のユーザーです。また、モバイルChromeはまだ拡張機能(Google plz)をサポートしていないため、モバイルでパスワードチェックが利用できるのは初めてです。

Googleは、「今のところ、セーフブラウジング保護の一環として、Chromeにログインしているすべてのユーザー向けに徐々にこの機能を展開しています。」ユーザーは、Chrome設定の[同期とGoogleサービス]セクションで機能を制御できます。Chromeにログインしておらず、データをGoogleのサーバーと同期していない場合、機能は動作しません。

Chromeにパスワードチェックアップが統合されたため、この拡張機能はもはや実用的ではなくなりました。 Webバージョンは、Googleに保存されているすべてのパスワードの完全なパスワード監査として引き続き優れており、Chromeに組み込まれたバージョンは継続的に入力時にパスワードを確認してください。

このストーリーは元々Ars Technicaに掲載されていました。


もっとGreat WIRED Stories

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

Close