パスワード漏洩確認サービス「Have I Been Pwned」、新チェック方式導入

Have I been pwned API v2

haveibeenpwned.com

「パスワードがハクられているかチェックしよう ― サーバへの送信なしで」

arstechnica.com

「新ツールでパスワード漏洩チェックが格段に簡単に」

www.bleepingcomputer.com

セキュリティ研究者Troy Hunt氏が運営する、漏洩したパスワードを収集して、そこに含まれるかをチェックできるパスワード漏洩確認サービス「Have I Been Pwned」が、第2バージョンのAPIを公開しました。

API v2全体は広範囲にまたがりますが、1つの特徴的な機能は、従来と違って「パスワードを送信せずに漏洩確認できる」ことでしょう。要するにパスワードのSHA-1ハッシュを送信して確認するというものです。SHA-1一方向性関数なので、ハッシュから元のパスワードを直接求めるのが困難となります。

しかし、そもそも漏洩したパスワードのハッシュを求めているわけですから、(正しい保証はないものの)ハッシュからパスワードが推測できるのも事実。

実はAPI v2には「SHA-1ハッシュの先頭の5文字」を送信すると、「5文字が一致するハッシュ全体とリスト上での出現回数」の一覧を返してくれるものもあります。つまり、受信側はローカルでハッシュ全体が同一かをチェックできます。

既に1password(パスワードマネージャ)は、この機能でパスワード漏洩チェックができる機能が追加されていますし、このサービスは以前から多数のOSSツールも連携しているので、API v2によりさらなる充実が期待されます。