パスワード漏れてます
自分の使っているIDやパスワードが、情報流出によって漏れていないかをチェックするサイトが公開されています。
Have I been pwned?
https://haveibeenpwned.com
このサイトに、メールアドレスあるいは、ユーザー名(アカウント、ID)を入力すれば、過去に情報流出が確認されている100以上のウェブサイトから3億を超えるデータの中に、それがないかを検索し、結果を表示します。
早速、私も普段使っているメールアドレスやユーザーID、そして家族のメールアドレスも検索してみましたが、全てセーフでした。
ところが、ある知人のメールアドレスを入れたところ、情報が漏れていました。もちろん、漏洩した情報の内容までは分かりません。
本人としては、そのメールアドレスをアカウントとして登録しているサイトで、何らかのリスクがあるものがあれば、そのパスワードは変更すべきだということになります。
また、このサイトの Notify にメールアドレスを登録しておけば、もし漏洩が確認されれば、通知してもらえる、という機能も提供されています。
ただ、何しろ大手サイトでは、一箇所で日本の人口を上回る数の情報漏えいをしています。ここで流出が確認されなかったとしても、こうした情報は漏洩することを前提とした方が良さそうです。
決して想定外のことではありません。
*お願い
この文章の下にある《広島Blog》というバナー(画像)を クリックしてください。
工場長様
Have I been pwned? を教えて頂き、有難う御座いました。早速チェックをして貰いましたが、今のところ大丈夫なようです。
ネット上のsecurityについての問題が増える中、予防のための方策、対抗したり、事後的に対処したりできる手段も増えていることに、少しですが、ホッとしています。
投稿: イライザ | 2016年5月 1日 (日) 21時30分
イライザ様
データのバックアップも同じですが、パスワードの管理も、いくら必要性を説いたところで、複雑で手間のかかることをする人は僅かですので、ワンタイムパスワード、スマホ連動の認証、生体認証など、安全で手間もかからない方法への移行も進んでいると思います。
既に、地方銀行でも掌紋認証でカードも通帳も印鑑も不要で24時間取引のできるドライブスルーを持つような銀行もありますし、Appleなども常に、より簡単で、より安全な認証方法を模索しています。
ちなみに、このサイトを作ったのは Microsoft でMVPを6回も受賞している Troy Hunt 氏です。
投稿: 工場長 | 2016年5月 1日 (日) 22時06分
情報流出で圧倒的に多いのは不倫・浮気サイト(SNS)です。
そういうところがセキュリティに関して甘いわけではなく、富裕層が多いので、世界中から標的にされているからです。
得られたIDは即時に証券取引などに使われ現金化されます。
パスワード方式は人間には管理できないようです。
投稿: ドク | 2016年5月 1日 (日) 22時45分
ドクさん
実は、情報流出を確認した知人からは「何故、どのサイトから漏れたのか教えてもらえないのか。それが分からないと、どのパスワードが漏れたのか分からない」と聞かれたのですが、その手のサイトからの流出が多いからだという説明もしました。
つまり、メールアドレスだけで、それが分かれば、それこそ誰がどのサイトに登録しているかが分かり、それそのものが(知られたくない)個人情報ということになります。
不精で記憶力にも自信のない私の場合、パスワードはある法則によって作ることにしていますが、それでもパスワードによる管理というのは限界があります。銀行などはログインパスワードとは別に決済にハードルを設けるようになっていますが、決済用のパスワードやカードを参照するものは面倒で、スマホ(指紋認証)連携の認証の方が楽です。
投稿: 工場長 | 2016年5月 2日 (月) 08時17分
とても良いサイトを教えて頂きありがとうございます。
迷惑メールが続くと、メールアドレスが漏れているのではないかと
色々と余計な心配をしていましたが、早速チェックしてみたところ
いずれも、Good newsでほっとしました。
有益な情報があれば、ドシドシ教えて下さい。
PWDについては、私も自分なりの一定の法則に則って、PWD登録を
していますが、時間が経過すると、その法則の根拠が変わり、以前の
根拠がわからなくなってしまったりと大変な思いをしています。
投稿: ロマンスグレー | 2016年5月 3日 (火) 17時52分
ロマンスグレーさん
ドクさんのコメントにあるように、プロ集団が攻撃によって得たIDについては即時に利用されているようで、ログインIDとパスワードだけでお金を動かせる証券取引きで使われることが多いようです。
ただ、その後も、そうしたIDは転売されたりもするので、いずれにしても分かった段階でパスワードを変更した方が良いですね。
いずれにしてもパスワードの管理は面倒なものです。AppleもGoogleもパスワードなどによらない、より簡単でより安全な新しい管理方法を模索していますが、早く煩わしいことからは開放されたいものです。
投稿: 工場長 | 2016年5月 4日 (水) 08時34分
« エキニシ・大須賀町のワインバー 500 | トップページ | 世界の交通事故死者数 120万人と自動運転 »
「ICT」カテゴリの記事
- バス乗り場の時刻表がデジタル表示されるようになった。(2019.04.03)
- 試さないで!緊急通報(2019.02.09)
- 網膜に直接映像を投影(2019.01.08)
- 高齢者にスマートスピーカー(2018.10.09)
- 買い替えなくていい?(2018.09.15)
工場長様
Have I been pwned? を教えて頂き、有難う御座いました。早速チェックをして貰いましたが、今のところ大丈夫なようです。
ネット上のsecurityについての問題が増える中、予防のための方策、対抗したり、事後的に対処したりできる手段も増えていることに、少しですが、ホッとしています。
投稿: イライザ | 2016年5月 1日 (日) 21時30分
イライザ様
データのバックアップも同じですが、パスワードの管理も、いくら必要性を説いたところで、複雑で手間のかかることをする人は僅かですので、ワンタイムパスワード、スマホ連動の認証、生体認証など、安全で手間もかからない方法への移行も進んでいると思います。
既に、地方銀行でも掌紋認証でカードも通帳も印鑑も不要で24時間取引のできるドライブスルーを持つような銀行もありますし、Appleなども常に、より簡単で、より安全な認証方法を模索しています。
ちなみに、このサイトを作ったのは Microsoft でMVPを6回も受賞している Troy Hunt 氏です。
投稿: 工場長 | 2016年5月 1日 (日) 22時06分
情報流出で圧倒的に多いのは不倫・浮気サイト(SNS)です。
そういうところがセキュリティに関して甘いわけではなく、富裕層が多いので、世界中から標的にされているからです。
得られたIDは即時に証券取引などに使われ現金化されます。
パスワード方式は人間には管理できないようです。
投稿: ドク | 2016年5月 1日 (日) 22時45分
ドクさん
実は、情報流出を確認した知人からは「何故、どのサイトから漏れたのか教えてもらえないのか。それが分からないと、どのパスワードが漏れたのか分からない」と聞かれたのですが、その手のサイトからの流出が多いからだという説明もしました。
つまり、メールアドレスだけで、それが分かれば、それこそ誰がどのサイトに登録しているかが分かり、それそのものが(知られたくない)個人情報ということになります。
不精で記憶力にも自信のない私の場合、パスワードはある法則によって作ることにしていますが、それでもパスワードによる管理というのは限界があります。銀行などはログインパスワードとは別に決済にハードルを設けるようになっていますが、決済用のパスワードやカードを参照するものは面倒で、スマホ(指紋認証)連携の認証の方が楽です。
投稿: 工場長 | 2016年5月 2日 (月) 08時17分
とても良いサイトを教えて頂きありがとうございます。
迷惑メールが続くと、メールアドレスが漏れているのではないかと
色々と余計な心配をしていましたが、早速チェックしてみたところ
いずれも、Good newsでほっとしました。
有益な情報があれば、ドシドシ教えて下さい。
PWDについては、私も自分なりの一定の法則に則って、PWD登録を
していますが、時間が経過すると、その法則の根拠が変わり、以前の
根拠がわからなくなってしまったりと大変な思いをしています。
投稿: ロマンスグレー | 2016年5月 3日 (火) 17時52分
ロマンスグレーさん
ドクさんのコメントにあるように、プロ集団が攻撃によって得たIDについては即時に利用されているようで、ログインIDとパスワードだけでお金を動かせる証券取引きで使われることが多いようです。
ただ、その後も、そうしたIDは転売されたりもするので、いずれにしても分かった段階でパスワードを変更した方が良いですね。
いずれにしてもパスワードの管理は面倒なものです。AppleもGoogleもパスワードなどによらない、より簡単でより安全な新しい管理方法を模索していますが、早く煩わしいことからは開放されたいものです。
投稿: 工場長 | 2016年5月 4日 (水) 08時34分