パスワード使い回し防止のChrome拡張機能、簡単に回避可能?
Google Chromeの拡張機能「Password Alert」が簡単に回避できてしまうことを示すコンセプト実証ビデオが公開された。
ユーザーによるパスワードの使い回しを警告するGoogle Chromeの拡張機能「Password Alert」に対し、セキュリティ専門家がこの機能を簡単に回避できてしまうことを示すコンセプト実証サイトとビデオを公開した。
この拡張機能では、ユーザーがGoogleアカウントで使っているのと同じパスワードをGoogle以外のWebサイトで入力すると、「GmailのパスワードがGmail以外のログインページで検出されました」という警告が表示され、パスワードのリセットを促される。
これに対して英国の情報セキュリティコンサルタント、ポール・ムーア氏(@Paul_Reviews)がコンセプト実証サイトを作成。5月1日に公開したビデオでは、Googleサービスのログインページに見せかけた詐欺ページにユーザーがGoogleのユーザー名とパスワードを入力しても、警告が表示されない様子をデモしている。
Googleセキュリティエンジニアのドルー・ヒンツ氏(@DrewHintz)はこの日のうちに、Password Alertをバージョン1.4に更新して指摘された問題に対処したことを明らかにした。
ところがムーア氏は、この更新版のPassword Alertも別の方法を使ってやはり簡単にかわすことができてしまうと指摘している。Ars Technicaは同氏が開発したコンセプト実証コードと、「これで真のレベルの保護が提供されると考えるなんて馬鹿げている」とPassword Alertを批判する同氏のコメントを掲載した。
関連記事
- パスワード使い回しに警告、Googleがブラウザ拡張に新機能
- Google、広告でもHTTPS化を推進
- HTTP接続は「安全でない」と明示すべし――Googleが提案
- WebサイトのHTTPS対応、Google検索ランキングに反映
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.