速報
ピクシブ、脆弱なパスワードを登録不可に “漏えいリスト”と照合
イラストSNS「pixiv」で、脆弱なパスワードが設定できない仕組みに。過去に他社サイトで漏えいしたパスワードのリストを活用している。
ピクシブはこのほど、イラストSNS「pixiv」で、脆弱(ぜいじゃく)なパスワードを登録できないようにしたと発表した。過去に他社サイトで漏えいしたパスワードのリストを活用。簡単なパスワードや、複数のサイトで使い回しされているパスワードを排除し、パスワードリスト型攻撃の被害を抑えるという。
セキュリティ研究者のトロイ・ハント氏が立ち上げた、漏えいしたID/パスワードを確認できる非営利のサービス「Have I Been Pwned」を活用した。
ピクシブは、このサービスから「SHA-1」でハッシュ化された漏えいパスワードのリストを取得。運用の都合上、過去に一定回数以上漏えいしたものを同社のデータベースに格納し、ユーザーがそうしたパスワードを登録できない仕組みにした。
同社は「漏えいした回数が多いものほど一般的で単純なパスワードだという指標になる」と説明。そうした簡単なパスワードを排除できるという考えだ。また、リストには1人が複数のサービスで使い回しているパスワードも含まれるため、使い回しの防止にもつながるとしている。
今後はパスワードの設定時に限らず、利用中のパスワードが脆弱な場合にも、ユーザーに変更を呼び掛ける方針だ。生体認証などを使う「FIDO」や、多要素認証などパスワード以外の認証方法も検討していく。
関連記事
- pixiv、ランキング操作に対策 「金銭受け取り大量ブクマする業者を確認」
イラストSNS「pixiv」で、金銭を受け取り、大量のアカウントを使って作品を機械的にブックマークすることで、作品のランキングを操作しようとする業者の攻撃を確認。運営が対策を行っている。 - ネット上で身を守るための「パスワード管理ソフト」 不正ログイン対策に今からできること
不正ログイン被害から身を守るには、パスワードの使い回しを避けたい。でも何個も覚えるのは大変。そんな問題を解決するパスワード管理ソフトを紹介。 - 急増する不正ログイン、対策のカギは「正しく怖がる」こと
不正ログインの被害が日本社会を揺るがしている。過去1年あまりで報道された大きな被害だけでも10件を超えた。不正ログイン事件の裏側を考察し、起こり得る犯罪と回避策の有効性を検証したい。 - 「脆弱性は見つからなかった」 セブン・ペイ緊急会見の“甘すぎる認識”
モバイル決済サービス「7pay」で不正ログイン被害が相次いだ問題で、運営元のセブン・ペイが緊急会見を開いた。 - 二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ
専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介する連載。今回は「二段階認証」と認証の仕組みについて。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.