複数のWebサービスで共通のパスワードを使用していないか調べるツール

2016年7月15日 21:42

headless曰く、  複数のWebサービスで共通のパスワードを使用する危険性は以前から指摘されているが、このような共通のパスワードを使用しているサービスを調べるコマンドラインツール「shard」がGitHubで公開された(GitHub — shardArs Technica、、Register)。

 shardはユーザー名とパスワードを指定して実行することで、FacebookやLinkedIn、Reddit、Twitter、Instagramで共通の認証情報を使用していないかどうかを確認できる。認証情報の書かれたファイルを指定することで、複数の認証情報をまとめて確認することも可能だ。

 作者のPhilip O'Keefe氏は多くのWebサービスで共通のパスワードを使用していたが、LinkedInから流出したパスワードの中に自分のパスワードが含まれていることを確認したためshardを開発したという。

 shardはアカウントを保護するために開発されたツールだが、攻撃者が悪用することも容易だ。調査先のサイトはモジュール化されているため、モジュールを作成することで任意のサイトを追加できる。

 スラドのコメントを読む | セキュリティセクション | セキュリティ | デベロッパー

 関連ストーリー: Google CEOのQuoraアカウントが乗っ取られ、連携先のTwitterでツイートが送信される 2016年06月30日 米セキュリティ指針で「パスワードの定期変更」「秘密の質問」が否定される 2016年06月28日 Twitterアカウント情報3300万件が流出、もっとも多かったパスワードは「123456」 2016年06月13日 Facebookのマーク・ザッカーバーグCEO、アカウントを乗っ取られる。複数のサービスで同じパスワードを設定していた? 2016年06月08日 Microsoft、ありがちなパスワードの使用を禁ずることで他社サービスから流出したパスワードによる攻撃に対抗 2016年05月28日

関連記事

最新記事