そのパスワード危険かも?パスワードを入力せず流出しているか調べる方法

セキュリティ

昨今、ネットバンキングや「○○ペイ」などの決済アプリ、フリマアプリなど便利なサービスがどんどん普及していますが、アカウントの数も多くなり管理が大変ですよね。

パスワードが漏れてアカウントに不正アクセスされたら予期せぬ損害につながることもあるかもしれません。

この記事では、今使っている自分のパスワードがすでに外部に漏れていないか、パスワードを入力せずに調べる方法について紹介したいと思います(`・ω・´)ゞ

流出アカウント検索サービス「’;–have i been pwned?」

調査には「‘;–have i been pwned?」という流出アカウント検索サービスを利用します。

このサイトは、メールアドレスやパスワードを入力すると、過去に流出したアカウントのデータベース上に存在するかどうかを調べてくれるサービスです。

「過去に流出したアカウントのデータベース」は、様々な企業から流出したアカウントの情報をまとめたもので、いつ・どこから流出したのかや、流出した情報の種類(パスワード、生年月日、電話番号など)を調べることができます。

2019年12月時点では約93億件ものデータが蓄積されていますね。

データベースの情報はダークウェブなど闇市場で取引されている可能性が高く、もしご自身のメールアドレスやパスワードがデータベース上に存在していたら、すぐに変更するなどセキュリティ対策を実施することをおすすめします。

自分のパスワードが漏れていないか確認してみよう!

それでは、パスワードが漏れていないか確認する方法をご紹介します。

以下の方法は「パスワードを直接入力したくない」という人向けのため、特に気にしない人は検索ボックスに直接入力して検索するだけで大丈夫です。

1. パスワードをハッシュ化する

まずはパスワードをハッシュ化し、ハッシュ値を求めます。

ハッシュ化のアルゴリズムは「SHA1」で計算してください。
ハッシュ値を計算してくれるWebサービス (こちら) やツールはたくさんありますので、お好きな方法で大丈夫です。

例えば「123456」というパスワードをSHA1でハッシュ化すると以下のような文字列になります。

7c4a8d09ca3762af61e59520943dc26494f8941b

2. ハッシュ値の先頭5文字を使って検索する

続いて、生成したパスワードのハッシュ値の先頭5文字を以下のURLの末尾にくっつけます。

https://api.pwnedpasswords.com/range/[ここにハッシュ値の先頭5文字をつける]

パスワード「123456」の例では以下のようになります。

https://api.pwnedpasswords.com/range/7c4a8

出来たらこのURLをブラウザのアドレスバーに入れて検索します。

3. 残りのハッシュ値の文字列を検索する

作成したURLをブラウザで検索すると、以下のようにハッシュ値の一覧が返ってきます。

これはデータベース上に存在する、検索した先頭5文字(例では「7c4a8」)と同じ5文字から始まるパスワードハッシュの一覧で、先頭5文字分はあらかじめ抜かれている状態のものです。

つまり、この中からハッシュ値の残りの文字列を検索し、一致するものがあればパスワードがデータベースに存在する=パスワードが流出しているということになります。

実際に残りの文字列「d09ca3762af61e59520943dc26494f8941b」をブラウザの検索機能で検索してみると、

大文字小文字は違いますが同じハッシュ値が存在しており、パスワード「123456」は流出していることがわかりました。

ちなみに、末尾の「:数字」は同じハッシュ値の件数を示しており、データベース上にパスワード「123456」は「23547453件」存在するということになります。

めちゃくちゃ使われているということですね(^^;

さいごに

ご自身の結果はいかがだったでしょうか?

もしパスワードが流出してしまっていた場合、そのパスワードに紐づくメールアドレスなども流出している可能性がありますので、思いつくアカウントはすべて変更したほうが良いと思います。(他人が同じパスワードを使っていて、それが漏れたという可能性もありますが)

特に重要なアカウントには必ず2段階認証(または2要素認証)など、IDとパスワードだけではログインできないような認証機能をつけ、不安のない快適なITライフを送ることをおすすめします(^^)

コメント