Googleは、便利なパスワードチェックアップツールをより幅広いユーザーに向けて展開しています。正直に言って、あなたのパスワードプロトコルはどれほどしっかりしているでしょうか?ログイン認証情報を共有したり、複数のアカウントでパスワードを使い回したり(それらのアカウントが低リスクだと認識しているかどうかに関わらず)、推測しやすいパスワードをアカウントに使用したりしている場合、答えは「おそらくあなたが思っているほど強力ではない」です。
パスワードに関するよくある間違い、つまり、経験の浅い悪意ある人物でさえアカウントにアクセスできてしまうような間違いこそが、Googleが2月にリリースした人気のChrome拡張機能を今週、広く展開する理由です。アカウントのセキュリティを常に万全にしておくのは大変な作業です。「Have I Been Pwned?」で潜在的な脆弱性がないか定期的にチェックする時間がある人はいないでしょう。Googleは、強力なパスワード保護を推測する必要がなくなることで、ユーザーのセキュリティ向上につながることを期待しています。
パスワード チェックアップの仕組みは次のとおりです。銀行や Netflix などのアカウントにサインインすると、拡張機能が、Google によると、データ侵害で漏洩した 40 億を超えるユーザー名とパスワード (残念ながら非常によくある) とそれらの認証情報を照合します。ログイン認証情報が漏洩していることが判明した場合、または特に弱い場合や他のアカウントで再利用されている場合は、パスワードを変更するように通知するフラグが表示されます。水曜日から、全国サイバーセキュリティ啓発月間の一環として、パスワード チェックアップはユーザーの Google アカウントのパスワード マネージャー セクションでリリースされ、ワンクリックで認証情報をスキャンできます。拡張機能をダウンロードする必要はまったくありません。今年後半には、Chrome に組み込まれ、問題のある可能性のある認証情報を即座にフラグ付けできるようになります。
より広範な展開に先立ち、GoogleはHarris Pollと提携し、3,419人の米国成人のパスワードセキュリティ習慣がユーザーを危険にさらしている実態を調査しました。Googleのアカウントセキュリティ担当ディレクター、マーク・リッシャー氏は先週、ニューヨーク本社で行われた記者会見で、Googleが発見したのは、アメリカ人のパスワード使用に関する「憂慮すべき」「痛ましい」事実だったと述べました。例えば、アメリカ人の4人に1人近くが、一般的で脆弱だと頻繁に指摘されるパスワード(「111111」、「123456」、「Iloveyou」など、覚えやすいもの)を使用していました。
ハリスの調査によると、回答者の66%が複数のアカウントで同じパスワードを使用していると回答しており、これは、1つのアカウントが侵害を受けた場合に複数のアカウントが同時に危険にさらされる可能性がある習慣です。調査によると、多要素認証を使用しているユーザーはわずか37%、パスワードマネージャーを使用しているユーザーはわずか15%でした。これら2つのセキュリティ対策は、パスワード管理を徹底するために不可欠です。
リッシャー氏は、アメリカ人は認証情報を3つの主要な層に分類する傾向があると述べた。つまり、機密性が非常に高いもの(銀行口座など)、中程度(メールなど)、重要でないもの(Netflix、Seamlessなど)だ。しかし、リッシャー氏は、私たちはこの分類が苦手で(これは私たちの言葉であり、彼の言葉ではない)、結局、パスワードを使い回すべきでないときに使い回していると付け加えた。理想的な世界では、すべてのアカウントに長くて複雑なパスワードが設定され、ユーザーは覚える必要もなく、パスワードマネージャーが代わりに設定してくれるので知る必要もない。そして、そのパスワードは、米国国立標準技術研究所の推奨に従い、セキュリティ侵害が発生した場合にのみ変更すればよい。しかし、ハリス調査が示唆し、私たち全員が心の奥底では真実だと知っているように、利便性が優先されてセキュリティが軽視されることが多いため、Googleは介入しようとしている。
Googleは最終的に、パスワードプロトコルに関する悪習慣や誤情報の抑制に取り組んでいると述べました。例えば、パスワードを物理的に書き留めるのは良くない習慣だという誤解などです。(実際、最近見てきたように、パスワードを書き留めて安全に保管することは、悪意のある人物から身を守る上で非常に効果的です。)NetflixやHuluのように、リスクが低いとされているアカウントの認証情報を共有することも、特にそのようなアカウントのパスワードが他のアカウントのパスワードと似ている、あるいは同じである場合は、大きな間違いです。(Harris Pollの調査結果によると、アメリカ人の27%が他人のパスワードを推測しようとしたことがあり、そのうち17%が成功しています。)
ギズモードの取材に対し、Googleが40億以上のユニークなパスワードペアをデータベースにまとめている方法について尋ねられたリッシャー氏は、その情報のほとんどはオープンウェブと自社の検索エンジンをクロールすることで収集していると答えた。しかし、クレジットカード会社のように、Googleはダークウェブもクロールして、流出したユーザー名とパスワードを探しているとリッシャー氏は述べている。
このツールは、アカウントデータの保護に必要な対策をまだ講じていない人のために、繰り返し使用されている、問題のある、あるいはリスクのあるパスワード使用状況を明らかにすることを目的としています(パスワードマネージャーはもう手に入れましょう!)。しかし、既に情報保護に必要な対策を講じているセキュリティマニアにとっても、このツールは役立つかもしれません。例えば、古いアカウントや忘れてしまったアカウントのログイン情報が漏洩したのに、何らかの理由で気づかなかった場合、Googleのパスワードチェックアップがそのアカウントのユーザー名とパスワードを更新するようリマインドしてくれるかもしれません。さらに、既に使用しているパスワードマネージャーとも連携して動作します。
パスワードチェックアップにアクセスするには、Googleアカウントにアクセスし、「セキュリティ」画面からパスワードマネージャー(画面下部)にアクセスしてください。または、こちらにアクセスしてください。
