5億件の「流出済みパスワード」が検索できるサイトの意外な活用法

Robert Lucian Crusitu / shutterstock.com

サイバーセキュリティの専門家らは、ウェブ上のプライバシーを守るため様々な対策を呼びかけている。なかでも最も有効な手段とされるのが、パスワードの使い回しをやめることだ。

パスワードを決める際は、自分が過去に使用したものを避けるのはもちろん、他人が過去に使用したものも使うべきではない。なぜなら、サイバー犯罪者らは何億個もの流出済みのパスワードのリストを持っており、それを悪用しているからだ。

犯罪者らは流出済みのパスワードにリストに、同じく流出済みのメールアドレスをマッチングさせることで、あらゆるサービスに忍び込もうとしている。

この状況からユーザーを守ろうと立ちあがったのが、セキュリティ研究家のトロイ・ハントだ。マイクロソフトのMVP賞の受賞歴を持つハントは、かつて自分のメールアドレスがハッキングされているかチェックできるサイト「Have I been pwned?(HIBP)」で有名になった。

そのハントが次にリリースしたのが、特定のパスワードが漏洩していないかを調べられる「Pwned Password」だ。このサイトを訪れ、検索窓に自分が使っている(あるいはこれから使おうと思っている)パスワードを入力すると、過去の漏洩履歴が表示される。

ハントは5億件に及ぶ流出済みパスワードのリストを持っており、そのリストと照合を行うのだ。例えば、最悪のパスワードとして知られる「123456」を検索してみると、「Oh No !」という文言とともに画面が赤に変わり、2000万回以上の漏洩履歴があることがが分かった。

また、流出履歴のないクリーンなパスワードの場合は、画面が緑色に変わり「Good News」と表示される。

このサイトが興味深いのは、自分で思いついたユニークな文字列だと思っているパスワードを入力してみると、意外にもそのパスワードが流出履歴を持つものだったりすることだ。これは、同じパスワードを思いついた人が他にも存在し、それが流出しているということなのだ。

このような事態を防ぐために有効なアプリが「LastPass」や「1Password」といったものだ。こうしたツールを用い、セキュリティ強度の高いパスワードを自動生成し、管理することでハッキング被害を予防できる。

編集=上田裕資

タグ:

ForbesBrandVoice

人気記事