FC2ブログ
TOP > Webサービス > title - パスワード漏れをチェックしてみた

ITやモバイル機器、iPhone、手帳や本など。
MENU

パスワード漏れをチェックしてみた

2018091000.png



情報管理LOGの@yoshinonです。
先日、話題になっていた「';--have i been pwned?」というサイトで、パスワードが漏洩していないかチェックしてみました。えっ、危なくないかって?それも含めてやってみました。
迷っている人は、この記事を読んでからでも、遅くはないですよ。


  
【 パスワード漏れをチェックしてみた 】  

 1.「';--have i been pwned?」って何?

 2.誰が運営しているの?

 3.パスワード漏れをチェックしてみた

 4.問題点は?







checkmark.png 1.「';--have i been pwned?」って何?

先日、はてなブックマークのホッテントリにこんな記事が上がっていました。

「わたしのパスワードも流出している!」をクリック1回で確かめる方法 | 文春オンライン
「わたしのパスワードも流出している!」をクリック1回で確かめる方法 | 文春オンライン




文春オンラインの記事ですね。

最近は、大規模すぎるパスワード漏洩事件が多発しているので、自分自身もやや感覚が麻痺している感は、あったのですよね。でも、よくよく考えたら、漏れたら困るサービスの1つや2つ以上はありそうです。

さて、この記事で紹介されていたのは、「';--have i been pwned?」というサイトです。

Have I Been Pwned: Check if your email has been compromised in a data breach
Have I Been Pwned: Check if your email has been compromised in a data breach




ここで、自分のメルアドを入力すると、どうやら自分の登録しているサービスで漏れたかどうかが分かるようです。なるほど。

でも、これ怪しくない?
名称も何だか変だし。




checkmark.png 2.誰が運営しているの?

というわけで、誰が運営しているのか気になりますよね。
こちらで、自ら名乗っています。

Have I Been Pwned: Who, what & why
Have I Been Pwned: Who, what & why




Troy Hunt氏という方が運営しているようですね。
では、Troy Hunt氏とは、何者なのでしょうか?
Wikipediaや様々なサイトに彼の名前を発見することができました。

Troy Hunt - Wikipedia
Troy Hunt - Wikipedia





Twitterもありますね。

Troy Hunt(@troyhunt)さん | Twitter
Troy Hunt(@troyhunt)さん | Twitter





経歴を見てみると、どうやら彼は、オーストラリアのWebセキュリティの専門家で、セキュリティに関する講演や教育活動もされているようです。2016年には、Microsoft Regional Directorに任命されているという実績のある方のようです。

さて、とはいえ彼の名前をかたったサービスという可能性も否定できないわけです。そのあたりも調べてみます。そうすると、彼名義の記事でちゃんと、このサービスについて言及していますね。どうやら、間違いなさそうです。

Troy Hunt: Have I Been Pwned is Now Partnering With 1Password
Troy Hunt: Have I Been Pwned is Now Partnering With 1Password







checkmark.png 3.パスワード漏れをチェックしてみた

そういうわけで、早速ですがパスワード漏れをチェックしてみました。

このサイトのまん中にある検索窓にメルアドを入れるだけです。

2018091001.png



「Oh no — pwned!」

2018091002.png


と出た場合は、パスワード漏れがあるということです。下にスクロールすると、漏れたサイトの情報が出てきます。
もうすでにどれも対策済みでした。ふぅ。

2018091003.png



二段階認証できるとことは、二段階認証するべきですね!




checkmark.png 4.問題点は?

さて、自分自身のセキュリティを確認する上では、有効なこのサービスですが、いくつか問題をはらんでいると感じました。

1.誰のメルアドでも調べられる
一番大きいのは、コレですね。
本当にコレ誰のメルアドでもいけちゃうんですよ。そうすると、脆弱性の高いユーザーすら発見できちゃう可能性があるわけです。かなりヤバいですよね。

さらに、パスワードすら調べることも可能なんですよ!

Have I Been Pwned: Pwned Passwords
Have I Been Pwned: Pwned Passwords




ここで、思いつく限り調べまくることも可能なわけです。むむっ!


2.偽サイトの可能性
今回は、かなり慎重にやりましたが、何も考えずに「';--have i been pwned?」だと思い込んで、偽サイトに情報を差し上げる結果にならないようにしたいですね。必ず、URLの確認を怠らないようにしましょう。それでも、偽装してくるのがいるので。

基本、1Passwordみたいなアプリを使うべきということですかね。






 eyeglass2.png 情報管理LOGの眼
 二段階認証必須です

パスワードは、定期変更すべきだ派。定期変更すべきではない派。長い文字列推奨派など、セキュリティ界隈は様々な言説が乱れ飛んでいますよね。一体、どれが正しいんだと思ってしまう人も多いかと思います。

自分の中では、

・パスワードの使い回しは極力避ける。
・パスワードの定期変更必要なし
・文字列は長い方が良い(英数混在だとなお良い)

 →意味のある文字列であっても構わない(例:dog,executive,easy カンマは取る)
・二段階認証は、必須

だと思っています。
まだ二段階認証に対応していないとことも多いですが、その場合は漏れても構わないぐらいの気持ちでいた方が良いような気がしています。




関連記事

Leave a reply






管理者にだけ表示を許可する

Trackbacks

trackbackURL:http://hokoxjouhou.blog105.fc2.com/tb.php/1253-bec252bd
該当の記事は見つかりませんでした。
SEO
loading
情報管理LOG