ピクシブ、脆弱なパスワードを登録不可に “漏えいリスト”と照合

[ITmedia]

　ピクシブはこのほど、イラストSNS「pixiv」で、脆弱（ぜいじゃく）なパスワードを登録できないようにしたと発表した。過去に他社サイトで漏えいしたパスワードのリストを活用。簡単なパスワードや、複数のサイトで使い回しされているパスワードを排除し、パスワードリスト型攻撃の被害を抑えるという。

ピクシブによる発表

　セキュリティ研究者のトロイ・ハント氏が立ち上げた、漏えいしたID／パスワードを確認できる非営利のサービス「Have I Been Pwned」を活用した。

　ピクシブは、このサービスから「SHA-1」でハッシュ化された漏えいパスワードのリストを取得。運用の都合上、過去に一定回数以上漏えいしたものを同社のデータベースに格納し、ユーザーがそうしたパスワードを登録できない仕組みにした。

　同社は「漏えいした回数が多いものほど一般的で単純なパスワードだという指標になる」と説明。そうした簡単なパスワードを排除できるという考えだ。また、リストには1人が複数のサービスで使い回しているパスワードも含まれるため、使い回しの防止にもつながるとしている。

ハッシュ化された漏えいパスワードが確認できる非営利サービス「Have I Been Pwned」

　今後はパスワードの設定時に限らず、利用中のパスワードが脆弱な場合にも、ユーザーに変更を呼び掛ける方針だ。生体認証などを使う「FIDO」や、多要素認証などパスワード以外の認証方法も検討していく。