ピクシブ株式会社が提供する、イラストや漫画の投稿型ネットービス「pixiv」においてパスワード設定時、過去に他社サイトにおいて流出した脆弱なパスワードを使用できない措置を取ることで、不正ログインへの被害防止の取り組みを実施しているとの情報を公開しました。
概要
具体的な方法としては、セキュリティ研究者が開発した過去に情報流出したIDやパスワードをチェックできるツール「Have I Been Pwned」を活用し、過去に一定回数以上漏えいしたものをピックアップしデータベース化、ユーザーはそれらに当てはまるパスワードを設定できない仕組みを実施しているというものです。
ピクシブ社は、これらの仕組みづくりにより以下の効果を挙げております。
| 流出した回数の多さが脆弱なパスワードとの指標にできる |
| 簡易なパスワードを排除できる |
| 他社サイトからのパスワードの使いまわしを防げる |
| リスト型攻撃への対策につながる |
ピクシブ社は今後、「pixiv」内でのパスワードの設定時だけでなく、利用中のパスワードが脆弱と判断した場合は随時ユーザーに対して変更を推奨し、さらには生体認証や多要素認証の実装も検討が進んでいるとのことです。
| 【参考URL】 ピクシブ、脆弱なパスワードを登録不可に “漏えいリスト”と照合 |