Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

Pwned Passwords v3リリース

Troy Hunt氏のブログにパスワード辞書としても活用が出来るPwned Passwords V3の告知が出ていました。

f:id:foxcafelate:20180722162537j:plain

 

■ Troy Hunt: Pwned Passwords V3 is Now Live!

 

◆キタきつねの所感

Troy Hunt氏と言えば、DarkWebをウォッチしているオーストラリアのセキュリティ専門家で、パスワード漏えい事件を数多く報じており、日本の個人情報漏えい事件(情報開示)にも多大な影響を与えています。最近では自分のパスワードが漏えいしてないかどうかを教えてくれるサービスを提供していたりもします。

会員サイトやECサイトで会員情報を登録させている事業者であれば、どこでも「パスワードの使いまわし」には大いに悩まされていることと思います。ユーザがパスワードを使いまわししているかどうかは、なかなか判別がつきずらいのですが、今回発表された「Pwned Passwords V3」はある意味、”パスワード辞書”となっています。

自社サービスの会員パスワード登録の際に、こうした漏えい辞書を活用できれば、別なパスワードを登録させる事ができるので、多くの(海外)事業者がこうしたファイルを活用しています。Tory氏の辞書は・・・個人的な見解では、最新かつ実践的に漏れた内容が含まれているので、日本の事業者であっても活用できる気がします。

公開情報を見てみると、

The other thing that changes with V3 is the counts on the existing passwords. For example, the worst password in V2 was "123456" which had been seen 20,760,336 times. In V3, it's still the worst password (surprise, surprise), except the count has now been upped to 22,390,492 due to it being seen in the new breach corpuses.

 

例えば、よく使われる「surprise」という英単語のパスワードがどの位、事件として漏えいしたデータでカウントされたかが分かります。こうした頻度情報をうまく使う事で、すべての辞書を会員登録時に見に行かせる必要も無くなる、そうしたスクリーニングの上でこのファイルを使うのも有効な対策となるかも知れません。

 

日本の個人情報漏えい事件も数多く含まれていますので、会員サイトを持たれている企業は、一度チェックされると良いかと思います。

 

アカウント乗っ取りのイラスト

 

 

更新履歴

  • 2018年7月15日PM(予約投稿)