ピクシブ、脆弱なパスワードを登録不可に “漏えいリスト”と照合
コメント
注目のコメント
Sha1でハッシュ化して突合とはいえ、それってつまりpixiv側に悪意があった場合Sha1ハッシュのraw版を取り揃えることができるということ
この辺り非営利だけあってhibpもまだまだといった印象
何よりhibp自身も漏洩情報を購入している点が実に長らく私の中で引っかかっている
誰かが買わないと中を活用できないのはそりゃそうなんだけど、逆にいうとある程度ふっかけても買ってくれる大手が現れたの同じ
マネタイズしてないのはよろしいことなんだけどなんともなぁという感じ
試み自体はいいんだけどID横串連携など業界団体側でやる事がまだ有りそう
私も某検索エンジンにいた頃この問題は悩まされました
しかし結局直接このような不正に取得された情報を間接的にでも入手するのは、流出元が競合だった場合、これは流石に不正アクセス対策を理由に競合調査してるんじゃないの?など様々な議論を呼びました
Pixivさんはこの辺りどう折り合いをつけたんでしょう
少なくとも、どのブリーチ情報を今持っているかは開示しておいた方が良い気もしますけど
もしくはhibp内の全dbにアクセスできるのかな。。。
いずれにせよ日本のサービスの漏洩情報なんてほんの少しだった気がする
匿名化するならパスワードハッシュのみ保持して突合か
などいろいろ考えてしまいます。いいんじゃないですかね
個人的には新しくPWを入力しないといけないときには毎回違うもの?(ある程度パターン化しているのでもしかしたら同じPWになっているものもあるかもしれんけど)にしているので、使いまわし等の脆弱なPWにはなっていないはず
でもそうではない人にとっては、情報漏えい等のリスクを下げることができるので、むしろありがたいのでは?こういうの知ってて使わないのは、メールアドレスを他サービスに入力することのリスクがあるのかがよくわからないからだと思う。まぁ信頼と実績があればやってみるかと個人ではあるが、会社でやろうとは思わないかなー。