パスワード強度とは
パスワード強度とは、お客様が当サービスに対して設定いただいておりますパスワードが安全なセキュリティ強度を有しているかの指標です。
当サービスでは新規ユーザー登録時にサービスより提示のルールに従い、パスワードの設定をお願いしております。
また付帯して、「Have I Been Pwned?」によるパスワードの流出検知が行われます。
パスワードが流出検知される場面について
パスワードの流出検知が行われるシーンは以下のとおりです。
- ログイン
- 新規ユーザー登録
- パスワード変更
検知の対象となるのは、以下のような条件に該当する場合となります。
- パスワードに設定されている文字列が簡単すぎる場合
- パスワードに設定されている文字列が過去に流出した記録がある場合
- 他のユーザーの利用や、他社のサービスサイトでの流出などあらゆる条件を含みます
警告表示が出た場合は
該当の警告表示が行われました場合は、ご利用中のパスワードのセキュリティ強度が低下していることが考えられますため、別のパスワードに更新いただくことをおすすめしております。
合わせて、二要素認証の設定やパスワードマネージャの利用などもご検討ください。
「Have I Been Pwned?」とは
メールアドレスやパスワードなどのログイン情報が、過去に流出したことがあるものかどうかを確認することのできるサービスです。
当サービスでは、この内「パスワードの流出検知」のみを行います。
パスワードの流出検知においては「Have I Been Pwned?」の仕様に従い、お客様に入力いただいたパスワードから生成するSHA-1 Hashの先頭5文字のみを使用して、「Have I Been Pwned?」に対してAPIリクエストをブラウザ上から実施します。
その後ブラウザ上で得られた結果を元に流出検知を行います(※なお、お客様のパスワードおよびパスワードから生成されるSHA-1 Hashの全文が「Have I Been Pwned?」に対して送信されることはありません)。