ExpressVPN Keysの機能である「パスワードの状態」を活用することで、ログイン情報のセキュリティ度合いを評価できます。また、ユーザーは改善のヒントやその方法を学ぶことができるため、パスワードのハッキングから身を守ることができます。
ユーザーのプライバシーを考慮して設計された「パスワードの状態」
ExpressVPN Keysに保存されたログイン情報はゼロ知識暗号化により保護されているため、ExpressVPNからアクセスはできません。これは、ユーザーのみがパスワードを解読できることを意味します。
そのため、ログイン情報のセキュリティは、ユーザー自身のデバイスでローカルに評価されます。この評価結果は、セキュリティスコアを計算し、アプリで有用な提案を表示する目的でのみ使用されます。セキュリティスコアは、パスワードの強度、同じパスワードを複数回使っていないか、保存したウェブサイトのURLが安全かどうかに基づいています。
パスワードの強度
パスワードの強度スコアは、類推攻撃や総当たり攻撃に対するパスワードの耐性を示すものです。ExpressVPN Keysは、業界標準のライブラリ「zxcvbn」を使用して、パスワードの更新時にパスワードの強度を評価します。アクセスを高速化するために、パスワードの強度スコアはExpressVPN Keysに保存されており、ExpressVPN Keysのロックを解除したときにのみこのスコアは表示されます。
使い回しされているパスワード
ExpressVPN Keyでは、ユーザーのプライバシーが保護された状態で、複数のログイン情報で同一パスワードが使用されていないかをチェックし、必要な場合を除いてパスワードが復号化されてメモリに読み込まれないようにします。
使い回しされているパスワードの判別方法:
- パスワードを更新すると、パスワードの頭5文字(パスワードを表す意味不明な文字列)がExpressVPN Keysに保存されます
- 複数のログイン情報でパスワードの頭5文字が同一だった場合、パスワードを復号して使い回していることを確認します
安全でないURL
ExpressVPN Keysは、ログイン情報に保存されるウェブサイトのURLが「http://」よりも安全な「https://」で始まっているかをチェックします。ウェブサイトへのアクセス時に安全でないデータ転送が行われるのを防ぐため、URLが「http://」である場合は警告を発します。
漏洩したパスワード
ExpressVPN Keysは、あなたのパスワードがHaveIBeenPwnedによって収集、作成されたデータ侵害リストに該当していないかお知らせします。このプロセスで、あなたの個人データが外部の第三者と共有されることはありません。漏洩したパスワードのチェックを希望しない場合は、アプリの設定でいつでもこの機能を無効にすることができます。
パスワードがExpressVPNやHaveIBeenPwnedに送信されることはありません
- ExpressVPN Keysは、各パスワードの40文字のハッシュを作成します。これはパスワードを表す意味を持たない文字列です
- Keysはその後、各ハッシュの最初の5文字だけをExpressVPN Keysのサーバーに送信し、サーバーはそのリクエストをHaveIBeenPwnedに転送します
- HaveIBeenPwnedは、あなたのパスワードと同じ5文字で始まるハッシュを持つ脆弱なパスワードのリストを返します
- 最後に、ExpressVPN Keysがユーザーのデバイス上でそれらをローカルに比較します
IPアドレスがHaveIBeenPwnedに送信されることはありません
IPアドレスは決してHaveIBeenPwnedに共有されないため、プライバシーはより強力に保護されます。
Keysが漏洩したパスワードをチェックする際、リクエストはまずExpressVPN Keysの安全なサーバーを経由してからHaveIBeenPwnedに転送され、同じルートで戻ってきます。