複数のWebサービスで共通のパスワードを使用していないか調べるツール

headless曰く、　 複数のWebサービスで共通のパスワードを使用する危険性は以前から指摘されているが、このような共通のパスワードを使用しているサービスを調べるコマンドラインツール「shard」がGitHubで公開された（GitHub — shard、Ars Technica、、Register）。

　shardはユーザー名とパスワードを指定して実行することで、FacebookやLinkedIn、Reddit、Twitter、Instagramで共通の認証情報を使用していないかどうかを確認できる。認証情報の書かれたファイルを指定することで、複数の認証情報をまとめて確認することも可能だ。

　作者のPhilip O'Keefe氏は多くのWebサービスで共通のパスワードを使用していたが、LinkedInから流出したパスワードの中に自分のパスワードが含まれていることを確認したためshardを開発したという。

　shardはアカウントを保護するために開発されたツールだが、攻撃者が悪用することも容易だ。調査先のサイトはモジュール化されているため、モジュールを作成することで任意のサイトを追加できる。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | デベロッパー

　関連ストーリー：
Google CEOのQuoraアカウントが乗っ取られ、連携先のTwitterでツイートが送信される 2016年06月30日
米セキュリティ指針で「パスワードの定期変更」「秘密の質問」が否定される 2016年06月28日
Twitterアカウント情報3300万件が流出、もっとも多かったパスワードは「123456」 2016年06月13日
Facebookのマーク・ザッカーバーグCEO、アカウントを乗っ取られる。複数のサービスで同じパスワードを設定していた？ 2016年06月08日
Microsoft、ありがちなパスワードの使用を禁ずることで他社サービスから流出したパスワードによる攻撃に対抗 2016年05月28日