131件のパスワードが不正使用されていたので1Passwordを導入した

こんにちは、ぷらす( @p1ass )です。

タイトルの通り、パスワードが漏れていたので1Passwordを導入しました。この記事では、パスワード漏洩の発覚の経緯から1Passwordの導入までを導入までを(ほぼ)時系列で紹介します。

事の始まり : Instagramの不正ログイン

大学で試験勉強をしていると、ふとInstagramからログイン通知のメールが届きました。

「あれ?今ログインなんかしてないのに🤔」と思いながらメールを見ると、イタリアからのログイン通知でした。

「パスワード漏れたのかなぁ、でもインスタのパスワードは他で使い回してないよな…?」と思いながらよくメールを見ると、ログイン通知が来たアカウントは今メインで使っているアカウントではなく、5年以上放置しているアカウントでした。

この時点で 「あっヤバイ」 となりました。

というのも、現在もよく使っているアカウント(Google, GitHubなど)のパスワードはユニークになるように工夫していたのですが、2~7年前に作ったアカウントはほとんど同じパスワードを使い回していたのです。そして今回不正ログインされたInstagramのパスワードはこの使い回していたパスワードでした。

「このままでは色々なアカウントに不正ログインされてしまう、、、」となり、急いで様々なサービスのパスワードを変更することにしました。

パスワード流失の確認

本当にパスワードが漏れたのか確認する必要があると感じたので、友人に教えてもらった Have I Been Pwned を使ってみました。

Have I Been Pwnedは過去の個人情報流出や情報漏洩事件の情報を元にメールアドレスを入力するだけで個人情報やパスワード漏洩を確認することができるサイトです。

結果はRedで漏洩していました。

Have I Been Pwned Have I Been Pwnedでメールアドレスを入力したときの結果

次にGoogleのパスワードチェックアップでパスワードの不正使用を確認しました。今までパスワードの管理は全てGoogleに任せていて自分が作成したアカウントのパスワードは全て登録されているので、どれだけパスワードを使い回しているか分かると思ったからです。

結果は不正使用されたパスワードが131件、再利用されているパスワードが335件でした。

Googleパスワードチェックアップ

流石に数が多すぎて自分でもドン引きしました。登録されているパスワードが523件だったので過半数以上が再利用されていました。

対策方針

この状況を放置しておくわけにはいかないので対策を考えます。パッと思いついた方針は以下の2つでした。

今回は

の要件を満たせそうな1Passwordを導入することにしました。プラットフォーマーから独立しているサービスの方が今後も使い勝手が良さそうに感じたのも理由の一つです。

移行作業

まずは1Passwordのアカウントを作成して、サブスクリプションに登録しました。月$2.99なら安いですね。

次にGoogleのパスワードマネージャに登録されているパスワードを一括エクスポートして、1Passwordにインポートしました。方法は以下の公式サポートが参考になりました。

https://support.1password.com/import-chrome/

移行が終わった時点で1Passwordに登録されたパスワードは523件でした。しかしよく見てみると、ドメイン違いで同じサービスのパスワードが複数登録されている様子が確認できました。(api.twittter.comとtwitter.comで同じアカウントが登録されているなど)

そこで、重複したパスワードや既にサービスが終了したパスワードを削除したところ登録件数が254件まで下がりました。ちなみにですが、重複パスワードの削除はインポートしてからではなく、エクスポートしたcsvをテキストエディタで開いて、検索しながら削除する方が効率が良いです。この作業だけでかなりの時間がかかってしましました。

その後、全てのパスワードを変更してました。基本は20文字、英数字記号全てを使ったパスワードにし、それができないものは制限に合うように変更しました。(中にはパスワード数字4桁のサービスがあるのですが、それらは変更するのを諦めました。)

2日ほどかけて全てのパスワードを変更して、移行作業は終了です。

おわりに

パスワードは使い回さないことが大事というのは頭では理解している人が多いと思うのですが、実際にそれを実行に移せている人は少ないように感じます。

面倒くさいとは思いますが、まずはHave I Been Pwnedなどで漏洩を確認し、早めにパスワードマネージャを導入することをオススメにします。

Top