強力で固有のパスワードを作成し、パスワードマネージャーやブラウザに保存するだけでは十分ではありません。パスワード侵害でパスワードが盗まれたかどうか、そしていつ盗まれたかを把握しておく必要があります。そうすれば、個人情報が漏洩する前に、速やかにパスワードを変更できます。その方法をご紹介します。
2019年に発生した大規模なCollections侵害により、文字通り数十億件ものメールアドレスとパスワードがウェブ上に流出し、アカウントのセキュリティが危険にさらされてから、しばらく経ちました。当時、ユーザーが直面した問題は、実際に危険にさらされているかどうかを確認する方法が限られていたことです。現在では、パスワードが盗まれたかどうかを検知するパスワード監視サービスが数多く存在します。その多くは、ユーザーが迅速に行動を起こし、パスワードを変更できるように設計されています。
その他のストーリー
最高のパスワードマネージャー
ブラウザのパスワードマネージャーが不十分な理由
世界パスワードデーを記念した5つの警告事実
メール侵害を明らかにするための基本サービス
Collectionsの侵害発生当時、そして現在もなお、この情報を確認するための信頼できるサービスが2つ存在していました。HaveIBeenPwnedと、ベルリンのポツダムにあるHass-Platner-Institutが運営するサービスです。どちらもメールアドレス(パスワードではありません!)の入力を求め、入力したメールアドレスを既知の侵害データベースと照合します。
どちらのサービスにも魅力があります。HaveIBeenPwnedの評判は、攻撃を公表したい人々を引きつけているため、サイトの侵害報告は包括的であるように思われます。このサイトでは、メールアドレスが侵害された事例を、性別や電話番号などの関連情報とともにリストアップしています。侵害は日付ではなく、攻撃を受けたサービス別に整理されています。なぜこれが重要なのでしょうか?例えば、2016年にメールアドレスが侵害された場合、パスワードはそれ以降変更されている可能性が高いからです。しかし、メールアドレスとパスワードが先月侵害された場合は、すぐに変更したくなるでしょう。
HaveIBeenPwned.comHaveIBeenPwned は侵害に関して大量の情報を提供していますが、より整理されている可能性があります。
HaveIBeenPwned はあらゆる電子メール アドレスの侵害情報も公開しており、友人や家族の安否確認に便利ですが、プライバシーにはあまり配慮されていません。
HPIのサービスは異なるアプローチを採用しています。侵害を日付順にリスト化し、漏洩した情報のマトリックスを表示します。サイトでメールアドレスを入力すると、そのメールアドレスにセキュリティレポートが送信され、リスクにさらされているデータと侵害の種類が色分けされたチャートが表示されます。
ハス・プラトナー研究所HPI は、最新の順に整理された、公開された情報のマトリックスを電子メールとともに送信します。
ブラウザがパスワード監視機能を無料で追加
上記のサービスはどちらも、特定のメールアドレスが侵害の対象になったかどうかのみを明らかにします。メールアドレス以外のユーザー名(例えば「billg」)が漏洩したかどうかは明らかにしません。そのため、 あなたの情報とあなたが設定したパスワードを知っている信頼できるサービスを選ぶ必要があります。パスワードを「チェック」するために、無作為のサイトを巡回するのではなく、信頼できる名前をいくつか絞り込むようにしてください。(また、パスワード監視はほとんどのパスワードマネージャーでは有料サービスですが、Webブラウザ内のパスワードマネージャーでは有料です。)
Google パスワード チェックアップ
2019年、GoogleはChromeに無料のブラウザプラグインを追加しました。このプラグインは、侵害されたサイトにログインすると、メールアドレスやパスワードが侵害されていた場合に警告を表示します。2019年10月には、Googleはパスワードの侵害履歴を自動チェックし始め、Chrome 79以降では「フィッシング」、つまり偽りの口実でパスワードを漏らすよう仕向けられることを防ぐため、ユーザーのオンライン利用状況を監視し始めました。
マーク・ハッハマン / IDGGoogle のパスワード チェッカーには、パスワードが侵害されたかどうかを表示する便利なダッシュボードがあります。
passwords.google.com にアクセスして認証すると、Google のオンライン パスワード チェックアップが起動し、セキュリティ侵害で漏洩したパスワード、複数のサイトで重複して使用されているパスワード、そして侵害が発生した場合に簡単に解読されないように複雑なパスワードに変更できるパスワードなど、簡単なダッシュボードが表示されます。サイト自体にもパスワードを変更するためのリンクがあります。ただし、これは Google 自体を使用してパスワードを保存している場合のみ機能します。
Firefox ロックワイズ
無料のMozilla Firefoxブラウザに含まれるFirefox Lockwiseの動作は、やや異なります。Googleのように冗長パスワードや脆弱なパスワードに関する推奨事項は提供しませんが、パスワード監視機能はGoogleと同様に機能します。また、Firefox内にパスワードを保存しているか、他のブラウザからパスワードをインポートしたかに関係なく機能するようです。ただし、Googleと同様に、Firefox Lockwiseもユーザーのパスワードを「知る」必要があるため、ブラウザにパスワードを保存する必要があります。
Lockwise にアクセスする最も簡単な方法は、Firefox の URL バーにabout:loginsと入力することです。
マーク・ハッハマン / IDGFirefox Lockwise は、Firefox ブラウザ内にパスワード監視機能を組み込みます。
パスワードが漏洩した場合、真っ赤なバナー、問題のアカウントとパスワード、そして問題のアカウントにジャンプするためのリンクが表示されます。(また、既に無効化したアカウントにもフラグが付けられる場合があります。私の場合、以前の仕事用アカウントに関連付けられていたLinkedInの侵害事例でも同様でした。)
Microsoft Edge パスワード モニター
マイクロソフトは昨年、Microsoft Edge 内にパスワード モニターを実装すると約束しており、まもなく Microsoft Edge 88 の一部として展開されます。他のブラウザー メーカーが提供する同様のサービスと同様に、このパスワード モニターは無料となります。
マイクロソフトEdge では複雑なパスワード ジェネレーターを展開しており、近々パスワード モニターも展開される予定です。
有料パスワード監視:パスワードマネージャー
パスワードマネージャーについては既にレビュー済みですが、パスワード管理において最も便利なツールであることは間違いありません。以下は、パスワードマネージャーの監視機能についてまとめたものです。
ラストパス
LastPassはブラウザが提供するパスワード保存サービスの強力な無料版を提供していますが、LogMeInのLastPassサービスはパスワード監視サービスを有料で提供しています。LastPassはパスワードが漏洩した場合に備えて「ダークウェブ」を監視しますが、漏洩した際には通知も送信します。これはブラウザメーカーがまだ提供していない機能です。この通知機能は、LastPassの月額3ドルのサービス料金に見合う価値があるのでしょうか?個人データをすぐにロックダウンしたいのであれば、価値があるかもしれません。
ラストパスLastPass は、月額わずかな料金で、ダークウェブ上で侵害されたパスワードを監視します。
ダッシュレーン
Dashlane も「ダークウェブ」の監視を有料サービスとみなしており、月額 6.49 ドルを請求しています。
1パスワード
1Passwordには無料プランはありませんが、月額2.49ドルの基本サービスには、同社が「Watchtower」と呼ぶ機能が含まれています。これは、侵害されたパスワードや、脆弱なため更新が必要なパスワードを警告します。1Passwordは実際にはHaveIBeenPwnedサービスと連携し、ユーザーのパスワード(メールアドレスではありません)を侵害されたパスワードのデータベースと照合します。しかし、追加のセキュリティ対策として、1Passwordはパスワードの一部(正確にはパスワードハッシュの一部)のみを送信し、一致する可能性のあるものをすべて収集し、ユーザーのマシン上で非公開で照合します。
1パスワード1Password の Watchtower パスワード監視サービス。
他のパスワードマネージャーはパスワード監視に少額の料金を課す傾向がありますが、どうなるかは分かりません。Microsoft、Google、そしてMozillaの競争的な影響力により、今後数年間、パスワード監視が無料サービスに戻ってくる可能性もあるでしょう。
