ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

ピクシブ、脆弱なパスワードを登録不可に “漏えいリスト”と照合

» 2020年01月28日 14時40分 公開
[ITmedia]

 ピクシブはこのほど、イラストSNS「pixiv」で、脆弱(ぜいじゃく)なパスワードを登録できないようにしたと発表した。過去に他社サイトで漏えいしたパスワードのリストを活用。簡単なパスワードや、複数のサイトで使い回しされているパスワードを排除し、パスワードリスト型攻撃の被害を抑えるという。

photo ピクシブによる発表

 セキュリティ研究者のトロイ・ハント氏が立ち上げた、漏えいしたID/パスワードを確認できる非営利のサービス「Have I Been Pwned」を活用した。

 ピクシブは、このサービスから「SHA-1」でハッシュ化された漏えいパスワードのリストを取得。運用の都合上、過去に一定回数以上漏えいしたものを同社のデータベースに格納し、ユーザーがそうしたパスワードを登録できない仕組みにした。

 同社は「漏えいした回数が多いものほど一般的で単純なパスワードだという指標になる」と説明。そうした簡単なパスワードを排除できるという考えだ。また、リストには1人が複数のサービスで使い回しているパスワードも含まれるため、使い回しの防止にもつながるとしている。

photo ハッシュ化された漏えいパスワードが確認できる非営利サービス「Have I Been Pwned」

 今後はパスワードの設定時に限らず、利用中のパスワードが脆弱な場合にも、ユーザーに変更を呼び掛ける方針だ。生体認証などを使う「FIDO」や、多要素認証などパスワード以外の認証方法も検討していく。

Copyright © ITmedia, Inc. All Rights Reserved.