パスワードを忘れた? アカウント作成
13834572 story
情報漏洩

Google、ユーザー名とパスワードの流出を通知するChrome拡張機能を公開 32

ストーリー by headless
流出 部門より
Googleは5日、任意のWebサイトへログインする際、過去に流出したユーザー名とパスワードの組み合わせを使用していないかどうか確認するChrome拡張機能「Password Checkup」をChromeウェブストアで公開した(Google Security Blogの記事GoogleアカウントヘルプThe Keywordブログの記事Ars Technicaの記事)。

Mozillaは任意のブラウザーで利用可能な個人情報流出を通知するサービス「Firefox Monitor」や、個人情報が流出したWebサイトにアクセスすると通知するデスクトップ版Firefox限定機能の「Firefox Monitor Notification」でHave I Been Pwned?のデータを使用しているが、Googleは独自に収集したデータを使用しているそうだ。

Googleはデータ侵害により流出したユーザー名とパスワードを発見すると、ハッシュ化したうえで暗号化し、ハッシュの先頭2バイト分(プリフィックス)とともに保存しているという。Password Checkupはユーザーが任意のWebサイトにログインする際、ユーザー名とパスワードをハッシュ化してからユーザー側の暗号鍵で暗号化し、ハッシュのプリフィックスと暗号文をGoogleへの問い合わせに使用する仕組みだ。

問い合わせを実行するとプリフィックスが一致するデータに加え、暗号文をGoogleの暗号鍵でさらに暗号化した暗号文が返される。この暗号文をユーザー側の暗号鍵で復号すれば、Google側の暗号鍵のみで暗号化された状態となる。これによりGoogleにユーザー名やパスワードを知らせることなく、ローカルでGoogleのデータとの照合を実行可能になるとのこと。

現在公開されているのは最初のバージョンであり、今後数か月の間にさらなる改善が行われるとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2019年02月09日 15時16分 (#3562515)

    入れるとすさまじく重い(CPU占有される)のは私だけだろうか(Firefox 65.0)。
    https://addons.mozilla.org/ja/firefox/addon/password-checkup-by-google-com/ [mozilla.org]

  • by Anonymous Coward on 2019年02月09日 14時38分 (#3562500)

    アカウント情報が漏洩しそうで気が気でない

    • by Anonymous Coward

      ハッシュの先頭2バイトから漏洩って、すごいハッカーだなw

      • by Anonymous Coward

        某漫画ではセーブデータからゲーム自体を復元してたな

        • by Anonymous Coward

          >某漫画ではセーブデータからゲーム自体を復元してたな

          ネタバレしない配慮が好きw

          • あのシーンは作者のRPGツクール好きが裏目に出てやらかしたのかもね
            RPGツクール3と4はシナリオデータ等をメモリーカードに保存させてディスクの中身はゲームエンジンと言える作りだったし、ついその感覚でやっちゃったのかも。
            # ネタバレしてないのはそこじゃないだろ?というのはもちろん、ネタバレしないための配慮です。

            親コメント
      • by Anonymous Coward

        某アニメではTBクラスのデータを36バイトに圧縮してましたな

        • by Anonymous Coward

          THcompかな?

          • by Anonymous Coward

            THcompかな?

            CERNcompですよ?

            • by Anonymous Coward

              SERNcompでは? ていうかそんな愉快なアニメだったのか。まあタイムリープがある世界だしな

          • by Anonymous Coward

            今の時代にオンライン専用ツールとしてなら実装できそうだよな、THComp。

        • by Anonymous Coward

          ラージハドロンコンプレッサですね

    • by Anonymous Coward

      デバッグ用の機能が不意に有効になって全文送信されちゃうとか?

    • by Anonymous Coward

      さすがに漏れはしないだろうけど、
      Googleユーザーがどのサイトにログインしようとしてるか、くらいは把握されるな。

      • by Anonymous Coward

        それはこの拡張機能に関係なく以前からずっと把握されてるでしょ

  • あの、Manifest v3で廃止すると言っている権限を要求してくるんですが

    • by Anonymous Coward

      何か問題が?
      廃止するというのは、サードパーティーは使えなくする。ということでしょう。

      • by Anonymous Coward

        表向きセキュリティ上の理由で廃止すると言っていることが問題。だったら素直に「俺たちだけが情報収集を続ける」と言え

        • by Anonymous Coward

          Googleとしては「文句あるなら使うな、こちらは同意をとって利用している、同意しない者は利用禁止だ」というのが主張なんですよね。
          そもそもこの拡張だけじゃなく、無理してChromeを使わなくてもいいのでは。他にもプライバシーを重視したと主張するブラウザは色々あります。
          Firefox……プライバシーとウェブの自由!(ご存じの通りテレメトリデータをデフォルトで収集)
          Vivaldi……極めてセキュア(※ただし中国政府を除く)
          Safari……iPhone使ってるなら使ってますよね?"What Happens on Your iPhone, Stays on Your iPhone"
          あと何があったかな……

          • by Anonymous Coward

            Safariも中国にはぶっこ抜かれてるからなー、ジョブズならアクセス権を引き渡さなかっただろうに・・・

          • by Anonymous Coward

            > Vivaldi……極めてセキュア(※ただし中国政府を除く)

            Vivaldi って中国がらみでなにかありましたっけ?

    • by Anonymous Coward

      まだ廃止してないのだし、適当なのがないもの

  • by Anonymous Coward on 2019年02月10日 0時36分 (#3562659)

    パスワードを記憶するときに、使い回しをさせないようにしたらどうなのだろうか。

    • by Anonymous Coward

      顧客満足度の低下に繋がります
      却下ですね

      • by Anonymous Coward

        顧客満足度低下につながる改悪は普通にやってるChromeが?警告の一つも出せないの?

  • by Anonymous Coward on 2019年02月10日 11時58分 (#3562722)

    タレコミ主の

    1.ハッシュをユーザー側の暗号鍵で暗号化したものを送信
    2.暗号文をGoogleの暗号鍵でさらに暗号化した暗号文を返信
    3.この暗号文をユーザー側の暗号鍵で復号すれば、Google側の暗号鍵のみで暗号化された状態となる。

    という説明は正しい?1のユーザー側の暗号鍵で暗号化したものに戻るんじゃない?

    • by Anonymous Coward

      たぶんですけど,

          1. H*U
          2. H*U*G
          3. H*U*G/U=H*G

          H:ハッシュ.U:ユーザ鍵.G:Google鍵.*:暗号化./:復号.

      みたいな感じのことができる暗号を使ってるってことなんじゃないですかね.

    • by Anonymous Coward

      その場合1.で送信する意味がないし、(ハッシュ化された流出リストはGoogle側の暗号鍵で暗号化されてるので)照合できない。
      詳細はよく分からないけど数学的にそういう構造を持つように設計された暗号方式なんだと思うよ。

      • by Anonymous Coward on 2019年02月10日 21時11分 (#3562881)

        ユーザー側ではハッシュをGoogleの暗号鍵で暗号化した一覧から照合させたい
        しかしユーザーはGoogleの暗号鍵を持っていないのでその暗号化ができない

        GoogleにはIDパスワードをハッシュ化した状態でも送らないようにしたい
        なのでユーザー側でユーザーの鍵で暗号化してから送る。

        DESやAES等の方式だと暗号化を別々の鍵で2回したあと一定の順序で2回復号化しなければいけないが
        可換暗号(楕円曲線暗号はこの条件を満たす)を使うとどちらの順序でも復号化できる

        1. で送信する理由はGoogleにGoogle側の暗号鍵で暗号化してもらうため

        親コメント
typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...