ピクシブはこのほど、イラストSNS「pixiv」で、脆弱(ぜいじゃく)なパスワードを登録できないようにしたと発表した。過去に他社サイトで漏えいしたパスワードのリストを活用。簡単なパスワードや、複数のサイトで使い回しされているパスワードを排除し、パスワードリスト型攻撃の被害を抑えるという。
セキュリティ研究者のトロイ・ハント氏が立ち上げた、漏えいしたID/パスワードを確認できる非営利のサービス「Have I Been Pwned」を活用した。
ピクシブは、このサービスから「SHA-1」でハッシュ化された漏えいパスワードのリストを取得。運用の都合上、過去に一定回数以上漏えいしたものを同社のデータベースに格納し、ユーザーがそうしたパスワードを登録できない仕組みにした。
同社は「漏えいした回数が多いものほど一般的で単純なパスワードだという指標になる」と説明。そうした簡単なパスワードを排除できるという考えだ。また、リストには1人が複数のサービスで使い回しているパスワードも含まれるため、使い回しの防止にもつながるとしている。
今後はパスワードの設定時に限らず、利用中のパスワードが脆弱な場合にも、ユーザーに変更を呼び掛ける方針だ。生体認証などを使う「FIDO」や、多要素認証などパスワード以外の認証方法も検討していく。
Copyright © ITmedia, Inc. All Rights Reserved.