「Google Chrome」に流出パスワードをワンクリックで安全なものへ更新する機能導入へ

流出したパスワードの自動更新など、「Google Chrome」で多くのセキュリティ改善

　米Googleは5月20日（現地時間）、開発者向けカンファレンス「Google I/O 2025」で、「Google Chrome」におけるパスワード管理の改善を発表した。主要な改善は、以下の3つだ。

• ユーザー認証：パスワード管理の改善、パスキー採用の容易化、フェデレーテッド認証管理（FedCM）の統合などで、強固なサインインフローをサポート
• 身分確認：モバイルウォレットからデジタル認証情報を使用して、年齢やID所有権などの検証済みのユーザー詳細をリクエスト
• セッション管理：デバイスにセッションをバインドするデバイスバインドセッション認証情報により、サインイン後のユーザー保護を強化

　一般ユーザーから見たときのメリットとしては、サインインのユーザーインターフェイス（UI）がわかりやすくなることが挙げられる。最近はWebサイトへのログイン方法が多様化しており、どのパスワードを使えばいいのか、パスキーが使えるのかわからなくなることがある。そこで、「Credential Manager API」を拡張してどの資格情報（ログイン情報）も扱えるようにすることで、いつも同じダイアログからそのWebサイトに適した資格情報が得られるようになる。「Chrome」が資格情報を見つけられないときのみ、ユーザーに通知して独自のサインインフローに切り替えられる。

　この機能は開発者向けにトライアル中。試験フラグ『chrome://flags#enable-experimental-web-platform-features』で体験できる。

サインインのUIがわかりやすく

　また、流出したパスワードをワンクリックで簡単に更新できる仕組みも用意される。Webサイトがパスワードのオートコンプリート機能を有効にしており、必要な情報（パスワード変更ページ）を提供していれば、その場で「Chrome」が強力な代替パスワードを生成し、ユーザーに代わってパスワードを自動的に切り替え可能だ。

　なお、この機能を利用できるようにするには、Webサイト側で以下の最適化が行われている必要がある。

• オートコンプリート：autocomplete="current-password" または"new-password"
• パスワード変更ページ：<your-website-domain>/.well-known/change-password

　この機能があれば、ユーザーがわざわざパスワードマネージャーをチェックする必要がなくなり、またパスワードの変更を怠ったり、途中であきらめたりといったことも防げる。

流出したパスワードをワンクリックで簡単に更新できる仕組み

　そのほかにも、サービスが複数のドメインやプラットフォームにまたがる場合でもユーザーがパスワードマネージャーで混乱しないようにする仕組みや、プラットフォーム間でのパスキーの同期の促進、利用可能な認証情報のみをリクエストする仕組み、パスキーの自動作成といった改善が計画されているとのこと。