誰もが自分のオンラインデータのセキュリティが侵害されることを望みません。 残念ながら、大規模で信頼されている企業の注目度の高いデータ侵害は珍しいことではありません。 これらの侵害により、メールアドレス、パスワード、および特定のプロフィールに保存されているその他の情報の安全性が危険にさらされる可能性があります。 一部のお客様は何年も前にSuperSaaSアカウントを作成し、SuperSaaSで他のウェブサイトと同じパスワードを引き続き使用しています。 ハッカーがこれらのリストを使ってアクセスを試みるのを防ぐために、私たちが取り組んでいる2つの方法があります。 この取り組みは、プライバシーやGDPRの観点でも重要です。
大量のパスワード入力を防ぎますが、それだけでは完全に保護できません
まず、大量のパスワードを一度にテストする人物を検出するシステムを設置しています。 これらのIPアドレスは自動的にブロックされ、監視ソフトウェアがアラートを発します。 しかし、ハッカーは多数のIPアドレスを使用し、それぞれから少数のパスワードをテストすることができるため、このタイプの監視は完全には効果的ではありません。
既知の漏洩パスワードのリストに対してパスワードを検証します
第二の防衛線として、セキュリティ調査会社がオンラインで公開している漏洩アカウントのリストを使用し、お客様がそのリストに含まれているかどうかを確認します。 have i been pwned?というサイトで、あなたのアカウントがリストに含まれているかどうかを確認することができます。 一致するパスワードが見つかった場合、対応するメールアドレスもそのリストに含まれているかどうかを確認し、両方が含まれている場合はパスワードをリセットします。
パスワードの内容を知ることなく確認できます
重要な点として、この検証のためにパスワードを他の誰かに送信する必要はありません。実際、パスワードは私たちのサーバーから外に出ることはありません。 その代わりに、パスワードの数学的な指紋、いわゆる暗号化ハッシュを使用し、そのハッシュがリストに含まれているかどうかを確認します。 指紋は私たちのオフィスから持ち出さない別のリストで安全に保管されていますが、指紋自体は無害であり、パスワードに復元することはできません。 これにより、実際のパスワードを直接扱う必要がなく、リストで一致が見つかった場合でも、使用したパスワードが何であるかを私たちが知ることはありません。 私たちが知るのは、それが漏洩パスワードのリストに含まれており、リセットすることをお勧めするということだけです。
リストで見つかったパスワードをリセットします
パスワードのハッシュがハッシュ化されたパスワードのリストで実際に見つかった場合、予防措置としてパスワードを削除します。 次回ログインしようとすると、「パスワードを忘れた場合」の画面に転送されるので、パスワードリセットリンクをメールで受け取ることができます。
明確にしておきますが、これはアカウントが侵害されたことを意味するわけではありません。 単に、将来の侵害を防ぐための予防措置として、パスワードをリセットしたということです。 私たちは、消去されたパスワードによる軽微な不便は、侵害されたアカウントによる大きなトラブルを上回ると考えています。もちろん、このプロセスについてご質問がある場合は、お問い合わせください。
このテストプロセスは、例えば大規模な侵害が発生し、新しいリストがオンラインに現れた場合など、定期的な間隔で繰り返されます。 私たちはセキュリティについてほとんど語りません。なぜなら、仕事をしっかりと行っている限り、伝えるべきことはほとんどないからです。 これは、SuperSaaSをご利用の際に安全な体験を提供しようとしている、数少ない目に見える取り組みの一つです。 チームとして、私たちは毎日裏で懸命にサイバーセキュリティに取り組んでいることをご安心ください。
2019年2月に初回公開。