ユーザーによるパスワードの使い回しを警告するGoogle Chromeの拡張機能「Password Alert」に対し、セキュリティ専門家がこの機能を簡単に回避できてしまうことを示すコンセプト実証サイトとビデオを公開した。

この拡張機能では、ユーザーがGoogleアカウントで使っているのと同じパスワードをGoogle以外のWebサイトで入力すると、「GmailのパスワードがGmail以外のログインページで検出されました」という警告が表示され、パスワードのリセットを促される。

パスワード使い回しの警告画面

これに対して英国の情報セキュリティコンサルタント、ポール・ムーア氏（@Paul_Reviews）がコンセプト実証サイトを作成。5月1日に公開したビデオでは、Googleサービスのログインページに見せかけた詐欺ページにユーザーがGoogleのユーザー名とパスワードを入力しても、警告が表示されない様子をデモしている。

Googleセキュリティエンジニアのドルー・ヒンツ氏（@DrewHintz）はこの日のうちに、Password Alertをバージョン1.4に更新して指摘された問題に対処したことを明らかにした。

ところがムーア氏は、この更新版のPassword Alertも別の方法を使ってやはり簡単にかわすことができてしまうと指摘している。Ars Technicaは同氏が開発したコンセプト実証コードと、「これで真のレベルの保護が提供されると考えるなんて馬鹿げている」とPassword Alertを批判する同氏のコメントを掲載した。

Googleのエンジニアは継続的な改善への取り組みを表明

関連キーワード Google | パスワード | Chrome拡張



Copyright © ITmedia, Inc. All Rights Reserved.