パスワードを決める際は、自分が過去に使用したものを避けるのはもちろん、他人が過去に使用したものも使うべきではない。なぜなら、サイバー犯罪者らは何億個もの流出済みのパスワードのリストを持っており、それを悪用しているからだ。
犯罪者らは流出済みのパスワードにリストに、同じく流出済みのメールアドレスをマッチングさせることで、あらゆるサービスに忍び込もうとしている。
この状況からユーザーを守ろうと立ちあがったのが、セキュリティ研究家のトロイ・ハントだ。マイクロソフトのMVP賞の受賞歴を持つハントは、かつて自分のメールアドレスがハッキングされているかチェックできるサイト「Have I been pwned?(HIBP)」で有名になった。
そのハントが次にリリースしたのが、特定のパスワードが漏洩していないかを調べられる「Pwned Password」だ。このサイトを訪れ、検索窓に自分が使っている(あるいはこれから使おうと思っている)パスワードを入力すると、過去の漏洩履歴が表示される。
ハントは5億件に及ぶ流出済みパスワードのリストを持っており、そのリストと照合を行うのだ。例えば、最悪のパスワードとして知られる「123456」を検索してみると、「Oh No !」という文言とともに画面が赤に変わり、2000万回以上の漏洩履歴があることがが分かった。
また、流出履歴のないクリーンなパスワードの場合は、画面が緑色に変わり「Good News」と表示される。
このサイトが興味深いのは、自分で思いついたユニークな文字列だと思っているパスワードを入力してみると、意外にもそのパスワードが流出履歴を持つものだったりすることだ。これは、同じパスワードを思いついた人が他にも存在し、それが流出しているということなのだ。
このような事態を防ぐために有効なアプリが「LastPass」や「1Password」といったものだ。こうしたツールを用い、セキュリティ強度の高いパスワードを自動生成し、管理することでハッキング被害を予防できる。
