AgileBits、過去に漏洩した5億件のパスワードを元に自分のパスワードをチェックできる「Pwned Password」を1Password.comでサポート。

シェアする

スポンサーリンク

 AgileBitsが過去に漏洩した5億件のパスワードを元に自分のパスワードをチェックできる「Pwned Password」サービスを1Password.comでもサポートするそうです。詳細は以下から。

1Passwordのアイコン

 MicrosoftのRegional Directorでセキュリティ部門のMVPという肩書きを持つTroy Huntさんは2016年から、各Webサービスなどで漏洩したアカウントおよびパスワードを串刺検索できるサービスHave I been pwned?Pwned Passwordsを公開ており、昨日Pwned Passwordsをv2にアップデートし5億件のパスワードと照合できる(cf.Gigazine)ようになったと発表しましたが、

Yesterday, Troy Hunt launched Pwned Passwords, a new service that allows you to check if your passwords have been leaked on the Internet. His database now has more than 500 million passwords collected from various breaches. Checking your own passwords against this list is immensely valuable.

Finding Pwned Passwords With 1Password – AgileBits Blog

パスワード管理サービス/アプリ1Password」シリーズを提供しているカナダのAgileBitsは本日、このPwned Passwordsサービスを同社のクラウドサービス「1Password.com」でもサポートしたと発表しています。

スポンサーリンク

使い方

 1Password.comでPwned Passwordsを利用する手順は以下の通りで、パスワード欄にオーバーマウスする前にショートカットキーShift + Control + Option(Alt) + Cを入力することで[Check Password]ボタンが現れるので、このボタンを押す事でPwned Passwordsのデータベースと照合され、過去に漏洩したパスワードに同じものがないかをチェックできるそうです。

1Password.com Checkkpassowrd Service

  • 1Password.comにサインインする。
  • Vaultを開き、アイテムの詳細をクリックする。
  • パスワード欄にオーバーマウスする際、ショートカットキーShift + Control + Option + Cを押すことで新機能のPoCが表示される。
  • [Check Password]ボタンをクリック。

Clicking the Check Password button will call out to Troy’s service and let you know if your password exists in his database. If your password is found, it doesn’t necessarily mean that your account was breached. Someone else could have been using the same password. Either way, we recommend you change your password.

Finding Pwned Passwords With 1Password – AgileBits Blog

おまけ

 1PassowrdのShinerさんは、この様なサービスはユーザーが個人情報を送らなければならず、correct horse battery stapleと同じ理由から使用するのを心配していたそうですが、Pwned PasswordsサービスはユーザーのパスワードをSHA-1を利用しハッシュ(40文字)化し、さらにその40文字の最初の5文字をデータベースと比較、マッチしたパスワードのハッシュを返し、オリジナルのパスワードハッシュとの比較は1Password側で行うため安全(Cloudflare, Privacy and k-Anonymity)だと説明しており、

Pwned Passwordsをサポートした1Passwordの仕組み

Personally, I’ve always been afraid of using a service that requires me to send my password to be checked. Once my password has been sent, it’s known, and I can’t use it anymore. It’s the same reason why “correct horse battery staple” was a strong password until this comic came out. 🙂

Finding Pwned Passwords With 1Password – AgileBits Blog

1Password.comでのPwned Passwordsのサポートはまだ実験段階(PoC)のため、何か不備や気づいたことがあればフィードバックをして欲しいとコメントしています。

コメント

  1. 匿名 より:

    「Have I been pwned?」って本当に大丈夫なんだろうか?
    自分のgmail入れて、数週間後に、「(中国人の名前っぽい人)がアクセスしようとしています」と通知が来たことがあって、怖くなったのですが。
    2段階認証してたから防げましたが。

  2. 匿名 より:

    ギガジンにも出てたネタだけど、もっとパスワード集めたいって?

    趣味悪いな。

  3. 匿名 より:

    気持ちの悪いビッグデータの収集法。
    まともな企業には見えない。