AgileBitsが過去に漏洩した5億件のパスワードを元に自分のパスワードをチェックできる「Pwned Password」サービスを1Password.comでもサポートするそうです。詳細は以下から。
MicrosoftのRegional Directorでセキュリティ部門のMVPという肩書きを持つTroy Huntさんは2016年から、各Webサービスなどで漏洩したアカウントおよびパスワードを串刺検索できるサービス「Have I been pwned?」と「Pwned Passwords」を公開ており、昨日Pwned Passwordsをv2にアップデートし5億件のパスワードと照合できる(cf.Gigazine)ようになったと発表しましたが、
It's been a huge piece of work, but it's done: here's more than half a billion passwords for you to download for free and use to help protect your systems. Or use the online k-Anonymity API developed in conjunction with @Cloudflare. It rocks! https://t.co/QHW3msXyo7
— Troy Hunt (@troyhunt) 2018年2月21日
Yesterday, Troy Hunt launched Pwned Passwords, a new service that allows you to check if your passwords have been leaked on the Internet. His database now has more than 500 million passwords collected from various breaches. Checking your own passwords against this list is immensely valuable.
Finding Pwned Passwords With 1Password – AgileBits Blog
パスワード管理サービス/アプリ「1Password」シリーズを提供しているカナダのAgileBitsは本日、このPwned Passwordsサービスを同社のクラウドサービス「1Password.com」でもサポートしたと発表しています。
使い方
1Password.comでPwned Passwordsを利用する手順は以下の通りで、パスワード欄にオーバーマウスする前にショートカットキーShift + Control + Option(Alt) + Cを入力することで[Check Password]ボタンが現れるので、このボタンを押す事でPwned Passwordsのデータベースと照合され、過去に漏洩したパスワードに同じものがないかをチェックできるそうです。
- 1Password.comにサインインする。
- Vaultを開き、アイテムの詳細をクリックする。
- パスワード欄にオーバーマウスする際、ショートカットキーShift + Control + Option + Cを押すことで新機能のPoCが表示される。
- [Check Password]ボタンをクリック。
Clicking the Check Password button will call out to Troy’s service and let you know if your password exists in his database. If your password is found, it doesn’t necessarily mean that your account was breached. Someone else could have been using the same password. Either way, we recommend you change your password.
Finding Pwned Passwords With 1Password – AgileBits Blog
おまけ
1PassowrdのShinerさんは、この様なサービスはユーザーが個人情報を送らなければならず、“correct horse battery staple“と同じ理由から使用するのを心配していたそうですが、Pwned PasswordsサービスはユーザーのパスワードをSHA-1を利用しハッシュ(40文字)化し、さらにその40文字の最初の5文字をデータベースと比較、マッチしたパスワードのハッシュを返し、オリジナルのパスワードハッシュとの比較は1Password側で行うため安全(Cloudflare, Privacy and k-Anonymity)だと説明しており、
Personally, I’ve always been afraid of using a service that requires me to send my password to be checked. Once my password has been sent, it’s known, and I can’t use it anymore. It’s the same reason why “correct horse battery staple” was a strong password until this comic came out. 🙂
Finding Pwned Passwords With 1Password – AgileBits Blog
1Password.comでのPwned Passwordsのサポートはまだ実験段階(PoC)のため、何か不備や気づいたことがあればフィードバックをして欲しいとコメントしています。
- Finding Pwned Passwords With 1Password – AgileBits Blog
コメント
「Have I been pwned?」って本当に大丈夫なんだろうか?
自分のgmail入れて、数週間後に、「(中国人の名前っぽい人)がアクセスしようとしています」と通知が来たことがあって、怖くなったのですが。
2段階認証してたから防げましたが。
ギガジンにも出てたネタだけど、もっとパスワード集めたいって?
趣味悪いな。
気持ちの悪いビッグデータの収集法。
まともな企業には見えない。