こうしたパスワード漏洩の危険性は何でしょうか?

リストを持っている人なら誰でもCommand+Fであらゆるパスワードを検索できるというのは十分に厄介なことですが、本当の危険はそこではありません。特定のパスワードを探すのに時間がかかりすぎるだけです。

むしろ、悪意のある人物は、このようなリストを利用してブルートフォース攻撃やクレデンシャルスタッフィング攻撃を行う可能性があります。ブルートフォース攻撃では、悪意のある人物は大量のパスワードを次々と試してアカウントへの侵入を試みます。クレデンシャルスタッフィングも同様ですが、漏洩した認証情報（既知のユーザー名とパスワードの組み合わせなど）を他のアカウントでも利用します。これは、人々が複数のアカウントで同じパスワードを使い回す傾向があるためです。（絶対にこのような行為は行わないでください。）

もちろん、悪意のある人物はこれらの攻撃を手作業で実行するわけではありません。彼らはコンピュータを使います。コンピュータは数百万ものパスワードを試してアカウントへの侵入を試みます。100億もの固有のパスワードデータベースがあれば、ハッカーは個人と組織の両方に対して、ブルートフォース攻撃やクレデンシャルスタッフィング攻撃を思う存分実行できるでしょう。

このパスワードデータベースから身を守る方法

組織が時間をかけてこのような攻撃に対する防御を強化してくれることを期待しますが、個人としても自分自身を守るためにできることはたくさんあります。

まず、漏洩パスワードチェッカーを使って、このデータベース内か他の場所かを問わず、あなたの認証情報が悪意のある人物に利用可能かどうかを確認します。もしパスワードが漏洩していることに気づいたら、すぐに変更してください。

念のため、すべてのアカウントで強力かつ固有のパスワードを使用するようにしてください。アカウントの認証情報が漏洩した場合でも、他のアカウントではそのパスワードが使用されないため、不正な攻撃者がクレデンシャルスタッフィング攻撃を成功させる可能性は低くなります。

アカウントがパスキーに対応している場合は、パスキーを使用してください。パスキーには漏洩する可能性のある認証情報が含まれていないためです。対応していない場合は、可能な限り2要素認証を使用してください。万が一、悪意のある人物があなたの認証情報を入手したとしても、スマートフォンや認証アプリなど、信頼できるデバイスにアクセスしない限り、アカウントに侵入することはできません。

これらすべての認証情報を管理するには、パスワードマネージャーを使用してください。優れたパスワードマネージャーは、パスワードの管理に役立つだけでなく、パスワードジェネレーター、2要素認証コード、パスワード漏洩時のアラートなど、便利なセキュリティ機能も備えている必要があります。

次の記事へスクロールしてください