pixiv(ピクシブ)、セキュリティ対策で他サービスで漏洩したパスワードを登録できないように設定
pixiv(ピクシブ)はパスワードリスト型攻撃などの対策として、パスワードの使いまわしを回避する目的で、過去他のサービスで漏洩したパスワードの登録を受け付けないようにしたと公表しました。
脆弱なパスワード判定方法
pixivでは、過去に漏洩したパスワードリストを利用して脆弱なパスワードを検出しており。このリストは、「Have I Been Pwned (HIBP)」 という非営利サービスから提供されています。
漏洩パスワードを保有することについての違法性については、不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)第6条に「何人も、不正アクセス行為の用に供する目的で、不正に取得されたアクセス制御機能に係る他人の識別符号を保管してはならない。」とあり、安全確保目的でパスワードを保持することに問題はないと解釈できるとしており、本パスワードリストの利用を決定したとのこと。
利用するデータの特徴
- パスワードリストにはSHA-1ハッシュ化された漏洩パスワード約5億5千万件が存在。
- 各パスワードが漏洩した回数もデータに含まれています
- 運用との兼ね合いから特に漏洩回数の多いパスワードを使用不可に設定。
安全なパスワード管理や生成とは
2024年8月21日にパスワードポリシーに関するガイドライン「NIST Special Publication 800-63B-4」を反映すると推奨されるパスワードやパスワードの設定管理は以下になります。
- 8文字以上のパスワード
- 定期変更は不要
- パスワードマネージャーでパスワードを管理・生成する
- 多要素認証(MFA)の実施・導入
- 12345などのパスワードを排除する為にブラックリストチェックを実施
- パスワードをハッシュ化して保存する