Have I Been Pwned?でパスワードを入力せずに漏洩を調べる方法

Have I Been Pwned?でパスワードを入力せずに漏洩を調べる方法

Opensource.comは6月24日(米国時間)、「Check your password security with Have I Been Pwned? and pass|Opensource.com」において、Webサイト「Have I Been Pwned?」を使って、パスワードが過去のセキュリティインシデントで漏洩していないかどうかチェックする方法を紹介した。

Have I Been Pwned?では、電子メールアドレスまたはパスワードを入力することで、その漏洩の有無を調査することができる。しかし、Have I Been Pwned?に機密情報であるメールアドレスやパスワードを入力することに抵抗がある人も多いだろう。「Have I Been Pwned?」が信頼できるサイトであったとしても、このサイトが外部からの不正侵入を受けて攻撃者によってパスワード収集に悪用されないとは限らない。

記事では、こうした懸念に対処する方法として、k-Anonymityと呼ばれる手法を使うことで、パスワードを入力することなく、過去のセキュリティインシデントによって漏洩したかどうかを調べることができると説明している。

紹介されている方法は次のとおり。

パスワードをSHA1でハッシュ化する
ハッシュ値の先頭5文字をHave I Been Pwned?に送信する(https://api.pwnedpasswords.com/range/ハッシュ値5文字)
先頭5文字分を抜いたハッシュ値の一覧が返ってくるので、ここに該当するハッシュ値が含まれているかどうか調べる。含まれていればそのパスワードは過去のセキュリティインシデントで漏洩している

例えば、以下のスクリーンショットでは、123456というパスワードがセキュリティインシデントで漏洩しているかを調査している。この例では23,174,662回漏洩したことが確認されている。123456は使ってはいけないとされるパスワードの1つであり、その通りの結果が得られたことを確認できる。

Have I Been Pwned?はデータ漏洩が発見された場合に登録したメールアドレスへ通知する機能を提供しており、記事では登録することを推奨している。


関連記事

おすすめ情報

マイナビニュースの他の記事もみる
主要なニュースをもっと見る
社会のニュースをもっと見る
経済のニュースをもっと見る
政治のニュースをもっと見る
国際・科学のニュースをもっと見る
エンタメのニュースをもっと見る
スポーツのニュースをもっと見る
トレンドのニュースをもっと見る
生活術のニュースをもっと見る
地域のニュースをもっと見る

経済 アクセスランキング

ランキングの続きを見る

経済 新着ニュース

新着ニュース一覧へ

総合 アクセスランキング

ランキングの続きを見る

東京 新着ニュース

東京の新着ニュースをもっと見る

東京 コラム・街ネタ

東京のコラム・街ネタをもっと見る

特集

特集一覧を見る 動画一覧を見る

記事検索