昨今ダークウェブなどでは、ハッキングなどの被害で流出したメールアドレスやユーザー名、パスワードなどをまとめて配布/売買する事例が頻発しており、これらが悪用されることでアカウントの乗っ取り被害にあう事例も多発しています。
現在パスワードの流用が危険というのは一般常識となりつつあり、ある程度セキュリティ意識の高い方は、「1Password」などのパスワード自動生成&管理アプリなどを積極的に使用していると思います。しかしながら一方で、現在でも多くの方がメールアドレス/ユーザー名/パスワードなどを複数のサイトで流用しているのもまた事実。そのため、一つのサイトがハッキング被害などを受けてアカウント情報が流出すると、芋ずる式に他のサイトにも被害が及ぶ事例が多発しています。
そのような現状を少しでも打開しようと、Googleがアカウントの不正使用を検知し、データ漏洩の可能性があるユーザー名/パスワードに対して警告を表示するChrome向けの拡張機能「Password Checkup」を発表しました。
同様のサービスとしては、Mozillaがメールアドレスの入力だけで簡単に過去の個人情報の漏洩がチェックできる無料サービス「Firefox Monitor」を公開していますが、今回Googleがリリースした「Password Checkup」の方がブラウザに組み込んで使用できるので、より実用的な印象です。
という事で、この「Password Checkup」、個人的にはChromeユーザーなら必携の拡張機能だと思います。今回は簡単にインストール方法と使用方法を解説しておきますので、Chromeユーザーはぜひ使ってみてくださいね。
「Password Checkup」の仕組み
Googleでは従来までも、第三者によるデータ漏えいの影響を受けたGoogleアカウントのパスワードを定期的にリセットしており、この戦略によって、過去2年間で1億1000万人を超えるユーザーを保護することができたとしています。また、このような安全対策がなければ、ユーザーはアカウントハイジャックの危険性が10倍になっていたとも記されています。
今回の「Password Checkup」は、Googleアカウントだけでなく、それ以外の広範な利用状況にも対応できるように開発された拡張機能です。
「Password Checkup」では、過去に流出した40億件以上のユーザー情報と照らし合わせ、ウェブブラウザ上で入力されたユーザー名とパスワードの両方が一致した場合にのみ、パスワードの変更を促すための警告画面を表示します。なお、すでにリセットされた期限切れのパスワードや、単に “123456”のような弱いパスワードについては警告は表示されないようです。
今回の「Password Checkup」は、スタンフォード大学の暗号技術の専門家と共同で開発されており、ユーザーのログイン情報はハッシュ化・暗号化されて検知を行うため、Google側にもユーザー名やパスワードを知られることがないように配慮されているとの事。
また、悪意のある攻撃者が「Password Checkup」を悪用し、安全でないユーザー名とパスワードを明らかにすることを防ぐための設計も行われていますし、ブルートフォースアタック(総当り攻撃)への対処も行われています。「Password Checkup」では、複数回のハッシング、k-匿名性、個人情報の取得、およびブラインドと呼ばれる手法を使用して、これらすべての要件に対処しています。
参考サイト:
■Protect your accounts from data breaches with Password Checkup|Google Security Blog
■危険なユーザー名・パスワードを警告してくれるChrome拡張機能「Password Checkup」、Googleが無償公開|INTERNET Watch
■流出したパスワードの使用に警告、Google Chromeの拡張機能「Password Checkup」|IT Media
■Googleがインターネット上で使用するパスワードがデータ侵害にあった危険なものでないかを逐一チェックしてくれる「Password Checkup」をリリース|Gigazine
Chromeへの「Password Checkup」のインストール方法
Google Chromeへ拡張機能「Password Checkup」をインストールする方法を解説しておきます。
まずはGoogle Chromeから以下のURLをクリックし、「Password Checkup」のインストールページへ移動します。
リンク:Password Checkup|chrome ウェブストア
するとこのような画面に移行するので、右上の【Chromeに追加】をクリックします。
【「Password Checkup」を追加しますか?】とポップアップが出るので、【拡張機能を追加】をクリック。
後はChromeの右上に「Password Checkup」のアイコンが表示されればインストール完了です。
Chromeでの「Password Checkup」使用方法
Chromeでの「Password Checkup」使用方法は簡単。というか、普段は特別意識して使う必要はありません。「Password Checkup」をChromeにインストールした状態で、普段通り各サイトへのログイン作業を行うだけ。
問題なくログインが完了すれば大丈夫ですが、もしも以下のような警告が出た場合には、早急にパスワードの変更作業が必要となります。※今回はあれこれ試しましたが、警告画面を出すことが出来なかったので、Google公式ページよりの引用です。
なお、「Password Checkup」での検出状況は、右上のアイコンをクリックすることで見ることが出来ます。また、下部にある「詳細設定」をクリックすれば、【拡張機能データの消去】が行えます。
という事で、「Password Checkup」の使い方は非常に簡単。基本的にはChromeに「Password Checkup」をインストールしておくだけで、後は意識して使う必要はありません。もしも警告画面が表示された場合のみ、該当するパスワードを変更するように心がけましょう。
安全ではないパスワードが検出された場合の対処方法:パスワードを変更してアカウントのハッキングを防ぐ。
もしも「Password Checkup」によって使用中のパスワードが安全ではないと判明した場合は、速やかに該当するサイトのパスワードを変更しましょう。
- 安全ではないパスワードを使ってアカウントにログインします。
- 安全なパスワードを新たに作成し、変更します。同じパスワードを流用しているアカウントがあれば、同様に個別に安全なパスワードを新たに作成し、設定しましょう。
- 2段階認証プロセスなど、別のセキュリティ対策を提供しているサイトでは、その対策を設定/利用することを検討してください。
注: 不審なアクティビティが検出されたGoogleアカウントや、ハッキングされたと思われるGoogleアカウントを保護する場合は、こちらの手順をご利用ください。
「Password Checkup」をオンまたはオフにする。
1、パソコンでChromeを起動し、Googleアカウントでログインします。
2、右上のオプションを開き、【その他のツール>拡張機能 】と進みます。
3、拡張機能のリストで、「Password Checkup」 を探し、オンまたはオフにします。
注: Password Checkup をオフにしても、「Password Checkup」で保存された情報は削除されません。
安全ではないパスワードの通知を無視する。
安全ではないパスワードは変更することをおすすめしますが、もしも変更しない場合は、次の設定を選択できます。
現在の通知を削除するには【閉じる/Close】を選択します。
今後の通知をすべて停止するには【このサイトでは無視する/Ignore for this site】を選択します。「Password Checkup」で保存された情報を削除すると、安全ではないすべてのパスワードについての通知が再開されます。
「Password Checkup」で保存された情報を削除する。
入力したパスワードとユーザー名が安全ではないことが「Password Checkup」で検出されると、その情報のハッシュ化された部分的なコードがChromeブラウザに保存されます。この部分的なコードから完全な形の情報を復元することはできません。
Chromeブラウザに保存されているこのコードを削除するには、安全ではないパスワードを変更するか、次の手順を行います。
1、Google Chromeで、Googleアカウントにログインします。
2、右上にある「Password Checkup」アイコンをクリックし、 表示されている【詳細設定】をクリック、続いて【拡張機能データを消去する】をクリックします。
注: この情報は、安全ではないパスワードに関する今後の通知をすべて停止する場合に使用されます。この情報を削除した場合、過去に安全ではないパスワードに関する通知を無視することを選択していても、その通知が表示されることがあります。
引用元:パスワードが安全ではないアカウントを保護する|Google アカウント ヘルプ
Windows 10:無料で安全なパスワードを作成&管理するなら「KeePass」がおすすめ!
Windows 10ユーザーで、無料で安全なパスワードを作成&管理したいなら、個人的にはフリーソフトの「KeePass」がおすすめです。高度なパスワードの作成にも対応し、日本語化も可能。現在も鋭意開発が続いているので、ソフト自体のセキュリティ面も比較的安心できると思います。
勿論、月額課金を厭わないなら、「1Password」がWindowsだけでなく、MacやiPhone、Androidなどでも一元的に利用できるので非常におすすめなのですが、やはりパスワード管理にお金は払いなくないという方も多いかと思います。そういう方は、ぜひ一度「KeePass」を使ってみてくださいね。
なお、一応スマホ向けのアプリも非公式版なら存在しています。(上記「KeePass」ダウンロードページ下部にリンクあり)
しかしながら若干データ同期が難しいのと、あくまでも非公式なのでセキュリティ面などにやや不安が残ります。そのため、個人的には以下の手順での使用がおすすめです。
- Windows 10で「KeePass」を使用し、パスワードを作成。
- Chromeで使用したパスワードを使ってサイトにログイン。それを記憶させておく。
- AndroidやiPhoneなどでサイトにログインしたい場合は、Chromeを利用することで、パスワードの入力を省略することが可能。※同一のGoogleアカウントを利用する必要あり。
パスワードの流用は危険です。個人情報は漏洩するのを前提に対処を。
昨今、本当に様々なサイトやサービスでの個人情報漏洩が止まりません。単純にセキュリティレベルが低いことが原因となる場合もあれば、高度なハッキングで漏洩する場合もあります。
そのため、個人的には個人情報、特にメールアドレスやパスワードは、流出する事を前提にして対処していくべきだと考えます。
例えメールアドレスやユーザー名が流出しても、パスワードを強固で個別なものを各サイトで使用していれば、まずその後、同じメールドレスを使用している別のサイトがハッキングなどの被害にあう可能性は少なくなるでしょう。しかしながら、そのような強固なパスワードを作成/管理するとなると、何らかの「パスワード生成/管理アプリ」の利用は必然となります。
ぜひ皆さんも今回のChrome拡張機能「Password Checkup」を使用しつつ、何らかの「パスワード生成/管理アプリ」を利用し、今後はログイン時のパスワードはそれぞれ別で作成するよう、十分ご注意くださいね。
コメント
Google Chromeも使っているので、Password Checkupをさっそくインストールしてみました。パスワードは保存しないで、その都度入力しているので、めんどうですが、流出するのはかなり防げるとはおもうのですが。
パスワードの保存を使わないというのは、自分も重要なサイトではそのように対処しています。でも、慣れると自動保存が便利ではあるんですよね。
Password Checkupは個人的に便利そうだと思うので、今後も使用を続けてみたいと思います。