流出パスワード利用されたユーザーに対する通知拡張機能「Password Checkup」は2月にリリースされ、65万人以上が利用しています。「Password Checkup」のユーザーは65万を超え、このうちの1.5%に当たる件数に警告表示されたようです。
Googleは米現地時間8月15日、流出パスワードの利用などを通知するセキュリティ拡張機能「Password Checkup」の利用動向と機能強化を発表しました。
「Password Checkup」は、安全ではないユーザー名とパスワードに対して警告を表示するChromeブラウザ向けの拡張機能です。
Googleでは、様々なWebサイトやサービスからユーザー情報が流出した事案について、40億件あまりのユーザー名とパスワードを記録しています。
「Password Checkup」を使うユーザーが各種サービスのログイン画面で自分のユーザー名とパスワードを入力すると、Googleが記録している情報と照らし合わせ、もし流出していたことが確認された場合は警告を表示して、パスワードの変更を促す仕組みです。
この照合の過程で使われるユーザー名とパスワードは全て暗号化され、Googleに知られることのないよう、スタンフォード大学の専門家と協力して対策を講じたとしていて、プライバシー保護対策に関する技術的詳細も公表されています。
「Password Checkup」の警告は、Google以外のサイトやアプリに対しても表示されます。
ユーザーが現在使っているユーザー名とパスワードの両方の流出が確認されていて、そのまま使い続ければアカウント乗っ取りの危険があると判断される場合のみ警告され単純に弱いパスワードを使っているといった理由のみでは警告されません。
Googleの調べによると「Password Checkup」は2月のリリース以来65万人以上がこの拡張機能を利用し、最初の1カ月だけで2100万件のユーザー名とパスワードをスキャンし、そのうちの1.5%で警告を表示しました。
Googleの調べによるとユーザーが利用するサービス分野に応じて、危険な認証情報が使われている割合に大きな差があることも分かりました。
危険な認証情報の使用率が低いのは、政府系サービスの0.2%や金融系サービスの0.3%で、最も高いのはエンターテインメント系サービスの6.3%と言います。
Googleの分析ではユーザーは著名なサービス以外で脆弱なパスワードを使い回す可能性が2.5倍も高く、実際には多くのユーザーがカード情報などセンシティブな用途でもパスワード等も使い回ししていると言います。
Googleの調べによると最初の1カ月だけで2,100万のユーザー名とパスワードをスキャンし、そのうち1.5%にあたる31.6万件で警告を促したと言います。
さらに「Password Checkup」が警告を表示した危険なパスワードの26%は変更され、変更後のパスワードの60%は推測困難なものになったようです。
この拡張機能の新機能として、ユーザーがGoogleに直接フィードバックを送るためのコメントボックスを追加しました。
また、Googleがサービス改善のために行っている匿名化したデータによる調査の対象からオプトアウトする選択も可能にしました。
前述したようにユーザーのユーザー名やパスワードの情報がGoogle側には知られないように配慮されているとは言いますが、新たにユーザーデータの管理機能の強化なども図られています。