今月いっぱいは「STOP!パスワード使いまわし!キャンペーン」期間中、ということで、パスワードの安全性に関するネタをもうひとつお送りします。
Googleが2019年10月2日より、Googleアカウントを対象に「Password Checkup(パスワードチェックアップ)」サービスの提供を開始しました。
このサービスは、Googleユーザーが、サインインに使っているパスワードについて、「不正使用されたことがあるかどうか」「他で何件使い回ししているか」などをチェックしてくれる機能です。
以前からGoogle Chromeの拡張機能として提供されていましたが、Googleアカウントを使用していれば、他のブラウザでも利用できるようになりました。
Google パスワードチェックアップ(サインインしてない状態)
このパスワードチェックアップサービスは、Googleアカウントにサインイン後のウェブダッシュボードで利用します。
上記URLにアクセスすると、Googleアカウントにサインインしてない場合には、サインイン画面が表示され、サインインして「パスワードを確認」というリンクをクリックすると、パスワードをチェックしてくれます。(すでにサインインしている状態だと、直ちにパスワードチェックを行い、結果を表示してくれます。)
パスワード確認結果表示(例)
パスワードの確認は、サービスが不正アクセスを受けたり、内部の関係者が持ち出したりして流出した40億を超えるユーザー認証情報を元に作成したGoogle社内のデータベースと照合されるとのことです。
チェック結果で万一不正使用が見つかった場合には、そのパスワードを直ちに変更することはもちろん、同じパスワードを使いまわししている全ての他のサービスでもパスワードを変更する必要があります。
また自分が他のサービスに同じパスワードを使いまわししている場合には、使いまわししているサービスのリストと、ID(メールアドレス等)を一覧表示してくれて、それぞれのサービスでのパスワード変更を促してくれます。
中には、自分が登録したことを忘れているサービスもリストアップしてくれるので、備忘録として役に立ちます。
パスワード使いまわし先のリストからそれぞれのサービスのパスワード変更に進めます
パスワードチェックでパスワードの不正使用が発見されなくても、使いまわしてしまっているサービスが見つかった場合、この機会に変更しておくようにしましょう。
Google Chromeならともかく、Googleアカウントに保存するのは、パスワードをGoogle側に知られているのではないかという一抹の不安を感じるのではないでしょうか。
おそらく暗号化やハッシュ化をしたうえで、通信や保存をしているのだとは思いますが・・・。どこかにその安全な保管方法の説明があると良いのですが。
パスワードを管理する別の方法としては、パスワード管理アプリ「PassClip」もあります。(皆さんご存知だとは思いますが)
PassClipではパスワードデータを、ユーザー情報を用いた暗号化などを施して保管しています。スマホでパスワードを管理する場合は、こちらをお勧めします。