131件のパスワードが不正使用されていたので1Passwordを導入した

こんにちは、ぷらす( @p1ass )です。

タイトルの通り、パスワードが漏れていたので 1Password を導入しました。この記事では、パスワード漏洩の発覚の経緯から 1Password の導入までを導入までを（ほぼ）時系列で紹介します。

事の始まり : Instagram の不正ログイン

大学で試験勉強をしていると、ふと Instagram からログイン通知のメールが届きました。

「あれ？今ログインなんかしてないのに 🤔」と思いながらメールを見ると、イタリアからのログイン通知でした。

「パスワード漏れたのかなぁ、でもインスタのパスワードは他で使い回してないよな…？」と思いながらよくメールを見ると、ログイン通知が来たアカウントは今メインで使っているアカウントではなく、5 年以上放置しているアカウントでした。

この時点で 「あっヤバイ」 となりました。

というのも、現在もよく使っているアカウント(Google, GitHub など)のパスワードはユニークになるように工夫していたのですが、2~7 年前に作ったアカウントはほとんど同じパスワードを使い回していたのです。そして今回不正ログインされた Instagram のパスワードはこの使い回していたパスワードでした。

「このままでは色々なアカウントに不正ログインされてしまう、、、」となり、急いで様々なサービスのパスワードを変更することにしました。

パスワード流失の確認

本当にパスワードが漏れたのか確認する必要があると感じたので、友人に教えてもらった Have I Been Pwned を使ってみました。

Have I Been Pwned は過去の個人情報流出や情報漏洩事件の情報を元にメールアドレスを入力するだけで個人情報やパスワード漏洩を確認することができるサイトです。

結果は Red で漏洩していました。

Have I Been Pwned でメールアドレスを入力したときの結果

次に Google のパスワードチェックアップでパスワードの不正使用を確認しました。今までパスワードの管理は全て Google に任せていて自分が作成したアカウントのパスワードは全て登録されているので、どれだけパスワードを使い回しているか分かると思ったからです。

結果は不正使用されたパスワードが 131 件、再利用されているパスワードが 335 件でした。

流石に数が多すぎて自分でもドン引きしました。登録されているパスワードが 523 件だったので過半数以上が再利用されていました。

対策方針

この状況を放置しておくわけにはいかないので対策を考えます。パッと思いついた方針は以下の 2 つでした。

• Google のパスワードマネージャーを使いながら再利用しているパスワードを変更する
• 1Password を導入する

今回は

• 全てのパスワードを変えたい
• パスワードジェネレータで作成したパスワードにしたい
• iPhone でも楽に入力できるようにしたい

の要件を満たせそうな 1Password を導入することにしました。プラットフォーマーから独立しているサービスの方が今後も使い勝手が良さそうに感じたのも理由の一つです。

移行作業

まずは 1Password のアカウントを作成して、サブスクリプションに登録しました。月$2.99 なら安いですね。

次に Google のパスワードマネージャに登録されているパスワードを一括エクスポートして、1Password にインポートしました。方法は以下の公式サポートが参考になりました。