FFFT

主にwebプロダクト開発に関連する話をつらつらと

chromeの「サイトまたはアプリでのデータ侵害により、パスワード情報が漏洩しました。」ダイアログ。初見ビビるけど焦ることなかれ

f:id:keyama4:20200717123340p:plain

localhostでフロントエンドアプリケーションの認証の動作確認をしている際に、上のキャプチャのダイアログが出てきた。

パスワードを変更してください

サイトまたはアプリでのデータ侵害により、パスワード情報が漏洩しました。
localhost:3000 のパスワードを今すぐ変更することをおすすめします。

パッと見、「え?え?え?なんかやばい実装自分がしちゃったか、やばいライブラリ読み込んだから認証情報が漏洩したのか!?」と思ったんですが、全くそんなことはなかった。
この機能は、chromeが2019年の12月にリリースした「Password Checkup」というもの。

security.googleblog.com

カンタンに言うと「Password Checkup」はgoogleが独自に漏洩リスクのあるパスワードを管理しているリストを使って、ユーザーのパスワードを入力時にチェックしてリストに含まれている場合ワーニングを出してくれる機能です。
データ侵害にあった危険なパスワードでないことを毎回チェックしてくれるんですね。
googleが出している記事によると、侵害されたとされる40億を超える認証情報と入力されたパスワードを比較しているらしいです。

今回のケースでは、自分が開発者でありテスト用のIDとパスワードを使っていたので気にする必要はなかったです。
しかし、実際に何かの認証が必要なアプリケーションに、パスワードを入力してログインしようとした際にこのダイアログが出た場合はすぐにパスワードを変更しましょう。

最近では、1Passwordなどのパスワードマネージャーツールが有料ですがあるので、こちらを利用するのがセキュリティ的には最も安全な気がします。

1password.com

パスワード忘れのリスクもなくなる。

最後に、「Password Checkup」はとても良い機能だなと思いつつ、localhostではダイアログ出さないでも良いんじゃないかなと思った。(ぼそっ)
ストアカウントのアイパスを適当に設定しなきゃ良いだけなんだけども。