自分のアカウントが危険にさらされていないか、確認しよう
この「Collectionシリーズ」などで取り扱われているアカウントデータは、現在さまざまなツールに活用されている。たとえば有名なところでは、「Have I Been Pwned: Check if your email has been compromised in a data breach」(以下、Have I Been Pwned)というサービスがある。
Have I Been Pwnedは、自分のデータが漏洩していないかどうかをチェックできるサイト。このデータベースには、2022年1月現在で約117億件の漏洩(ろうえい)アカウント情報が蓄積されている。Have I Been Pwned にメールアドレスを入力すると、流出データにそのメールアドレスの情報が含まれているかを表示してくれるほか、漏洩データにメールアドレス、もしくはメールアドレス・パスワードのペアがあった場合「もしかすると、パスワード漏洩したかもしれないインシデント」として表示してくれる。
ただし、結果欄をよく読むと(英語)、漏洩したのは“email addresses, names and salted password hashes.”(メールアドレスと氏名、パスワードの特徴)というように、実際には、パスワードが実質的にはそのままでは使えない状態で漏れていても、「漏れている」と表示される点は注意したい。
結果を見て、自分のメールアドレスが何かのインシデントに巻き込まれたことがあったら、そのサービスと同じパスワードを使い回すことは絶対に避けるべきだ。もちろん、特徴しか漏れていないパスワードからパスワードを類推するのは容易ではないが、ヒントがない、というわけではない。もし、変えていない人は、今からでもパスワードを変えておくべきだろう。