■ パスワード強度とは
パスワード強度とは、お客様がロリポップ!マネージドクラウドに対して設定頂いておりますパスワードが、安全なセキュリティ強度を有しているかの指標です。
ロリポップ!マネージドクラウドではサインアップ時にサービスより提示のルールに従い、パスワードの設定をお願いしております。
また付帯して、「Have I Been Pwned?」によるパスワードの流出検知が行われます。
■「Have I Been Pwned?」とは
メールアドレスや、パスワードなどのログイン情報が、過去に流出した事があるものかどうかを確認することのできるサービスです。
ロリポップ!マネージドクラウドでは、この内「パスワードの流出検知」のみを行います。
パスワードの流出検知においては、「Have I Been Pwned?」の仕様に従い、お客様に入力いただいたパスワードから生成する SHA-1 Hash の先頭5文字のみを使用して、「Have I Been Pwned?」に対してAPIリクエストをブラウザ上から実施します。その後ブラウザ上で得られた結果を元に流出検知を行います。(※ なお、お客様のパスワード、及びパスワードから生成される SHA-1 Hash の全文が「Have I Been Pwned?」に対して送信されることはありません。)
パスワードの流出検知が行われるシーンは以下のとおりです。
- 新規登録
- ログイン (パスワード再入力画面を除く)
- ログインパスワード更新
- データベースパスワード更新
検知の対象となるのは、以下のような条件に該当する場合となります。
- パスワードに設定されている文字列が簡単すぎる場合
- パスワードに設定されている文字列が過去に流出した記録がある場合
- 他のユーザーの利用や、他社のサービスサイトでの流出などあらゆる条件を含みます
■ 警告表示が出た場合は
該当の警告表示が行われました場合は、ご利用中のパスワードのセキュリティ強度が低下していることが考えられますため、別のパスワードに更新いただくことをおすすめしております。合わせて、二要素認証の設定やパスワードマネージャの利用などもご検討下さい。