Google Chromeの新しいパスワード保護の仕組み
(security.googleblog.com)Googleは、他社からID/パスワードが漏えいした一覧を入手すると、この情報をハッシュ化したうえで、Googleだけが知る鍵で暗号化してサーバーに保存する。ChromeユーザーがWebサイトにログインするとき、ハッシュ化された情報がChromeだけが知る鍵で暗号化されて(GoogleでもID/パスワードを復元することはできない)、サーバーに送られて前述の一覧と照合され、そのID/パスワードが漏えいしているかどうかがユーザーに通知される。
また、リアルタイムのフィッシング確認機能として、ユーザーが見ているURLのSHA-256ハッシュの先頭32ビットを送信し、そのURLがフィッシングURLかどうかを確認する(GoogleはURL全体を知ることはできない)。
まだコメントはありません。