情報流出したパスワードを使っているとGoogleが警告してくれるーーChrome拡張機能「Password Checkup」

Googleが作った「危険なパスワード」を警告してくれる拡張機能

Googleが提供するChrome拡張機能「Password Checkup」を試してみました。「Password Checkup」は2019年2月にGoogleが発表した拡張機能。

情報流出のあった危険なユーザー名とパスワードの組み合わせを使っていると、ユーザーに「そのパスワードは流出してるから変えたほうが良いよ」と教えてくれるというもの。

Googleは危険なユーザー名とパスワードの組み合わせは40億件以上も記録しているデータベースを構築。このデータベースとユーザーが入力したデータを照合させる際、Google側に入力データが公開されないよう、スタンフォード大学の専門家と協力して、強力な暗号化が行われているとのこと。

注意したいのは「危険なパスワードを入力した場合にGoogleが警告してくれるというわけではない」という点。あくまでも「ユーザー名とパスワードの組み合わせが流出している」というケースでのみ警告されます。

そのため代表的な「最も危険なパスワード」である「123456」や「qwerty」といったパスワードを入力しても、「Password Checkup」が危険だと通知してくることはありません。

約78億の流出メールアドレスから照合できるサイト「Have I been pwned?」も便利

先日も「宅ふぁいる便」が不正アクセスで約480万件の個人情報流出が発生しましたが、過去にはGoogleやYahoo!なども不正アクセスでアカウント流出する被害が起こっています。

自分のユーザー名とパスワードが流出していないかを確認する方法は「Password Checkup」を利用する以外にも、Microsoftの社員でセキュリティにおいて国際的な活躍をしているTroy Hunt氏が運営する「Have I been pwned?」というウェブサイトでも確認することができます。

先日もMicrosoftが「定期的なパスワード変更を促すことを廃止」と発表し、世界的にもパスワード変更が必要なのは「流出した恐れのある場合」のみという考え方が主流になっています。

パスワードは大文字や小文字の入り交ざった覚えにくいパスワードを推奨するサービスを見かけることが多いですが、米国の国立標準技術研究所(NIST)では「長く覚えやすいパスワード」を設定することが推奨されています。