えもんブログ

セキュリティからライフハックまでゆるくとどけるWEBメディア

【あなたのパスワードは大丈夫?】Have I Been Pwned?の基本的な使い方

こんにちは、えもんです。

 

今回は、普段自分が利用しているアカウントのパスワードが流出しているかを確認できるHave I Been Pwned?について説明したいと思います。

 

 

Have I Been Pwned?とは?

Have I Been Pwned allows you to search across multiple data breaches to see if your email address has been compromised.

Have I Been Pwned?とは、様々な流出データベースを基に自分のメールアドレスが流出していないかチェックできるWebサービスです。

現時点(2019年6月3日現在)で365サイト、約78億件の流出アカウント情報がデータベース化されています。

haveibeenpwned.com

Pwned Webサイトの一覧を見ると、LinkedInやDropboxなど日本人にもなじみの深いWebサービスから流出したアカウント情報が登録されていることが分かります。

 

ちなみに"Pwn"とはネットスラングで「打ち負かす」、「勝つ」という意味を指します。Pwnedなので「打ち負かされた」≒ 「情報を盗られた」ということなんでしょうね。

 

基本的な使い方

 トップページにある検索ボックスに普段利用しているアカウントを入力します。ここでは自分が普段利用しているメールアドレスを入力してみます。

f:id:emonnao:20190604183341p:plain

Good newsという表示が出たらそのメールアドレスに関連する情報は流出していないということになります。

幸いなことに私が普段利用しているメールアドレスに関連する情報は流出していませんでした。

 

ちなみに自分のメールアドレス情報が流出していた場合は、下記のような表示となります。下にスクロールすると流出元となったWebサービスと流出時期がわかります。

f:id:emonnao:20190604184543p:plain

その時点で利用していたパスワードは流出しているということですので、パスワードを一切変えていないのであれば、変更をお勧めします。

 

流出以降にパスワードを変更しているのであれば、問題ないと思いますが、不安な場合はパスワードを変更してしまうのも良いでしょう。

ちなみにこのサイトではやたらと1Passwordの利用を勧めてきます。

怪しいアプリではないので、気になる人はチェックしてみてはいかがでしょうか。

1password.com

 

また、Webサービスを利用する上でID、パスワードのみの認証では心もとないです。Googleなどは二要素認証の設定ができますので、この機会に設定しておきましょう。

support.google.com

流出していなかったからといって安心してはいけません。

ここにある情報は、あくまで流出情報が公表されているものが対象となっています。

メールアドレス+パスワードと言う組み合わせは一般的になりましたが、常に攻撃者はその情報を狙っています。

  • 全てのサービスで同一のアカウント情報を利用しない
  • 二要素認証が利用可能なサービスは二要素認証にする
  • 不要なアカウントを作らない(利用アカウントを把握する)

アカウント管理において、上記3つを意識するだけでセキュリティリスクは格段に減少します。

その他の機能

簡単に他の機能を紹介します。

Notify me

自分のメールアドレスを登録しておくと、流出情報が更新された時に自動的にチェックしてもらえます。万が一流出していた場合はそのメールアドレス宛に通知ができる仕組みです。

こちらはNotify meのドメイン版というイメージです。自身や自組織が管理しているドメインを登録しておき、そのドメインが流出した場合はまとめて通知してくれる仕組みとなります。

Who's been pwned

流出情報の詳細です。侵害された時の日付や、Have I Been Pwned?に登録された日付、流出件数、流出したデータの種類が記載されています。

Passwords

メールアドレスと同様に普段利用しているパスワードが流出しているかチェックできる機能となります。

「password」で検索してみましたが、3,645,804件のヒットがありました。脆弱なパスワードということがわかりますね。

f:id:emonnao:20190604191811p:plain

入力されたパスワードはSHA-1で送られているようですが、パスワードを入力するという時点で個人的にはあまり利用する気にはなれません。。。