Comparisons Brawte nfaq 0 Comments

Google:漏洩したパスワードはすべてGoogleのもの – パスワードを見つけるためのChrome拡張機能はこちら

Table of Contents

Google:漏洩したパスワードはすべてGoogleのもの – パスワードを見つけるためのChrome拡張機能はこちら

Googleの検索エンジンは、絶え間ないウェブクロール中に、ハッカーによって漏洩されたり、不注意によって公開されたりした認証情報を頻繁に検出します。そのため、広告の偽装機能は、漏洩したユーザー名とパスワードをコピーして暗号化します。

この情報を基に、チョコレートファクトリーは自社のソフトウェアエンジニアに、スタンフォード大学の暗号の専門家と連携して、「Password Checkup」と呼ばれるChromeブラウザ拡張機能を作成するよう指示した。この拡張機能により、Chromeユーザーは自分のパスワードがオンラインで見つかるかどうかをチェックできる。

警告を受けたユーザーがヒントを得て、漏洩した秘密を変更することを期待しています。

MozillaのライバルブラウザであるFirefoxは昨年、HaveIBeenPwned.comと呼ばれるサードパーティの公開認証情報データベースをチェックする「Firefox Monitor」という同様のサービスを実装しました。パスワード管理アプリ1Passwordのユーザーも、同じサービスを利用して保存されている認証情報と公開されている認証情報を比較する拡張機能を利用できます。

Google の Password Checkup 拡張機能は、40 億の識別子の内部データセットを使用して同様のアプローチを採用しています。

あなたのパスワードは安全です - 私たちを信頼してください

Google のセキュリティおよび不正使用防止研究チームのメンバーである Jennifer Pullman、Kurt Thomas、Elie Bursztein は、データを収集しているにもかかわらず、「Google がユーザー名やパスワードを知ることは決してない」と主張している。

「大まかに言うと、Password Checkupは、ユーザー名とパスワードの侵害状況をGoogleに照会する際に、照会した情報を公開しないようにする必要があります」と、3人は本日のブログ投稿で説明しています。「同時に、他の安全でないユーザー名やパスワードに関する情報が漏洩しないようにし、総当たり攻撃による推測を不可能にする必要があります。」

同社がこれらの秘密を知らないとされる理由は、ハッシュ法の繰り返しや、シングルパーティによるプライベート情報検索 (PIR) や 1 対 N の忘却転送などのプライバシー技術によるものです。

クロームシャッターストック

ネットユーザーや開発者がChromeの広告ブロックに猛烈に抗議する中、Googleは「まだ確定ではない」と主張

続きを読む

Google は、Argon2 ハッシュを使用してユーザー名とパスワードをハッシュし、ハッシュの最初の 2 バイトを検索用のインデックスとして保存し、その後、楕円曲線暗号化を使用してハッシュをエンコードします。

パスワードチェックアップは、ユーザーの認証情報に同じエンコード処理を施し、2バイトのインデックスを使用してGoogleの安全でないパスワードデータベースに一致する候補を照会します。Googleは、匿名プレフィックスを共有する暗号化ハッシュのセットを返し、ユーザーのローカルマシン上で、ユーザーの現在のユーザー名とパスワードの暗号化ハッシュと比較します。一致した場合は、新しいパスワードを作成する必要があります。

プルマン氏、トーマス氏、そしてバーステイン氏は、これがPassword Checkupの最初のバージョンであり、今後改良していく予定だと述べています。ChromiumチームがChrome拡張機能プラットフォームに提案したManifest v3の変更が承認されれば、この拡張機能はwebRequest将来的に改修が予定されているAPIに依存しているため、改良が必要になる可能性があります。

プライバシー権限に関しては、この拡張機能はすべてのウェブサイトのサイトデータの読み取りと変更が可能です。この点が気になる場合は、DuckDuckGoとTorブラウザの使用をご検討ください。

HaveIBeenPwned (HIBP)を作成したセキュリティ研究者のTroy Hunt氏は、The RegisterとのTwitterチャットで、Googleの同様のサービスへの支持を表明した。

「パスワードの再利用という行為から人々を引き離すものは非常に良いことだと私は思いますし、その点では彼らがそれを実行してくれたことを嬉しく思います」と彼は語った。

「HIBP の Pwned Passwords と似たようなことを彼らがやっていることはまったく気になりません。いずれにせよ、これは彼らと同じ目的を持った完全に無料のサービスですから。」

彼は、Googleのシステムの仕組みを十分に理解していないため、プライバシーへの影響を評価できないと述べた。「これは、プライバシーの観点から非常に堅実なCloudflareがHIBPのために考案したモデルに似ていると思います」と彼は述べた。

「もちろん、Googleの社員は、彼らがすべてのデータを吸い上げようとしていると常に想定していますが、プライバシーに影響を与えるような形で実際にそれが起こっていないことを願っています。」®

Comparisons

Smart Recommendations

Discover More