強固なパスワードを持つことの最大のメリットの一つは、変更する必要がないことです。パスワードが強力で、ユニークで、攻撃者に侵害されていない限り、恣意的なスケジュールに従って変更してもセキュリティ上のメリットはありません。そのままにしておきましょう。

あなたが追跡すべきなのは、最近、あるいはこれまで経験したであろう多くのデータ侵害で、あなたのパスワードが漏洩していないかどうかです。当然のことながら、漏洩が発生した場合、影響を受けたパスワードを変更することが最優先事項です。しかし、多くの人がこれを実行していません。Googleの最新の調査によると、

「…私​​たちは、侵害で発見された40億件以上の認証情報へのアクセスを仲介するクラウドサービスと、初期クライアントとして機能するChrome拡張機能を実装しています。約67万人のユーザーと2,100万件のログインから匿名テレメトリを収集した結果、ウェブ上のログインの1.5%%に認証情報が侵害されていることがわかりました。この侵害状況をユーザーに警告することで、警告の26%%が、少なくとも元のパスワードと同等の強度を持つ新しいパスワードへの移行につながっています。」

パスワードが漏洩したと気付いた人がなぜパスワードを変更しないのかは分かりませんが、もしかしたらメッセージが十分に明確ではないのかもしれません。さらに悪いことに、人々が確認していない漏洩したパスワードを想像してみてください。結局のところ、破られていると感じていないパスワードを変更する人はいないでしょう。

前半は完全にあなた次第ですが、後半は私たちがお手伝いします。パスワード変更の時期が来たことを知らせてくれるツール（無料・有料）はたくさんあります。私たちのおすすめツールをいくつかご紹介しますので、ぜひ一つ、あるいは複数選んで、今すぐお使いください。

Googleのパスワードチェックアップ拡張機能

Chromeを愛用している人なら（ほとんどの人はそうでしょう）、Googleの拡張機能「Password Checkup」のインストールを検討してみてください。この拡張機能はブラウザのバックグラウンドで動作し、ウェブサイトにログインするまでは特に重要な処理は行いません。ウェブサイトにログインすると、アカウントの認証情報が過去にデータ漏洩していないか確認します。もし漏洩していた場合は、パスワードを変更する必要があることを通知するので、そのアドバイスに従ってください。

なお、この拡張機能はパスワードをチェックして漏洩することはありません。Googleは次のように説明しています。

パスワードチェックアップはプライバシー保護技術を採用しており、個人情報がGoogleに漏洩することはありません。また、攻撃者がパスワードチェックアップを悪用して安全でないユーザー名やパスワードを漏洩するのを防ぐ設計となっています。さらに、この拡張機能によって報告されるすべての統計情報は匿名です。これらの指標には、安全でない認証情報が表示された検索回数、アラートがパスワード変更につながるかどうか、サイトの互換性向上に関係するウェブドメインなどが含まれます。

私はPwnedされたのか 

こちらの方がさらに簡単です。Have I Been Pwnedの「通知」機能を使ってメールアドレスを送信すると、あなたのメールアドレス（およびそれに関連付けられているもの）が侵害されたことが判明するたびに警告が届きます。複数のサービスで異なるメールアドレスを使い分けているような謎めいた人でもない限り、この無料サービスを利用しない理由はありません。もしそうなら、Badrapのようなサードパーティサービスを使って、複数のアカウントをHave I Been Pwnedのデータベースと照合することを検討してください。

言うまでもないかもしれませんが、念のためお伝えしておきます。アカウントが侵害されたというメールを受け取ったら、そのサービスのパスワードを変更してください。ユニークで、かつ強力なパスワードを設定してください。また、もし他のサービスで同じパスワードを使い回していたら、他のサービスでもパスワードを変更してください。

Firefoxモニター

ちょっとした秘密を一つ。Firefox Monitorは、Have I Been Pwnedと同じような「自分のメールアドレスがデータ侵害に巻き込まれたら通知する」サービスを提供しています。実は、Firefox MonitorもHave I Been Pwnedのデータベースを利用しているんです。

Firefox Monitorは基本的にHave I Been Pwnedのリスキン版ですが、知っておく価値はあります。もしあなたがFirefoxの大ファンで、それがこの便利なサービスに登録する唯一の理由なら、なおさら良いでしょう。

1パスワード

1Passwordに料金を支払うと（優れたパスワードマネージャーなので、支払うべきです）、Watchtower機能にアクセスできます。この重要なサービスに注目しない理由はありません。なぜなら、あなたが使用したパスワードが、ご想像のとおり、Have I Been Pwnedの侵害データベースに登録されていると、警告してくれるからです。これは、自分のメールアドレスが侵害に遭ったかどうかを調べるだけとは少し異なります（そして、より便利です）。

また、使用しているサービス自体がデータ侵害に関係していたかどうかをすぐに確認できるため、攻撃による直接の影響を受けていない場合でも、パスワードを変更する良いきっかけになります。

Hasso Plattner Institute の ID 漏洩チェッカー

ドイツのハッソ・プラットナー研究所が開発したこのツールも、同様のツールと同様に、メールアドレスを入力するだけで済みます。入力したメールアドレスが何らかのデータ侵害に関連している場合は、メールで通知されます。

このツールはアクティブな監視ソリューションではありませんが、アカウント情報が過去にどこで侵害されたかを確認するのに役立ちます。実行時間はわずか1秒なので、変更が必要なアカウントのパスワードを包括的に把握したい場合でも、大きな負担にはなりません。

クレジットカルマ

Credit Karmaといえば、無料の信用スコアや信用モニタリングといった金融関連サービスで知られているでしょう。しかし、無料の個人情報モニタリングサービスも提供しており、あなたのメールアドレスがデータ漏洩の対象になった場合に警告を発します。その場合は、通常通り、関連付けられているパスワードを変更してください。