よくある質問（FAQ）

シンプルにお答えすると「はい」です。このWebサイトに入力されたパスワードを当社で収集することはなく、保管することもありません（詳細情報や技術上の詳細については、以下をお読みください）。

このWebサイトの仕組みについてご説明します。パスワードを検証するために、このサイトではサードパーティのサービスを2種類使用しています。どちらのサービスも、サイバーセキュリティの専門家の間で高い評価を受けています。 1. 総当たり攻撃に対するパスワードの耐性を確認するアルゴリズム。平均的なPCを使った総当たり攻撃でパスワードを破ろうとした場合にかかる、おおよその時間を算出します。このアルゴリズムは、英語の辞書にある単語が使われているかを考慮し、英語で一般によく見られる文字の組み合わせリストを参照して判定を行います。入力されたパスワードがどこかに送信されたり、保存されたりすることはありません。 2.「 Have I Been Pwned 」。入力されたパスワードを、過去に漏洩したアカウントのデータベースと照合し、一致するものがないかどうか確認します。Have I Been Pwnedは、サイバーセキュリティの著名な専門家であるトロイ・ハント氏によって作成されたもので、近年はパスワードやアカウント情報の漏洩を検証する際の、事実上の業界標準となっています。Have I Been Pwnedのデータベースは、世界各地で漏洩したパスワードを最も包括的に網羅しているデータベースの1つであり、定期的に更新されています。 Have I Been Pwnedが密かに人々のパスワードを収集しているということはないか？という懸念に関してですが、そのようなことはありません。ただし、念のために、このWebサイトに入力されたパスワードを直接Have I Been Pwnedへ渡すことはせず、いわゆるハッシュの形で提供しています。このハッシュは暗号化された値であり、この値と合致するデータがデータベースにあるかどうかの確認には使用できますが、元のパスワードに戻すことはできません（少なくとも非常に困難です）。 詳しくはこちら（英語） これに加え、このWebサイトのセキュリティについて当社では定期的にチェックを行い、また、安全なデータ転送方法（SSL / TLS）を使用しています。

上で説明したセキュリティ手段が講じられているにもかかわらず、入力されたパスワードを誰かが傍受できる状況であると仮定しましょう。盗んだパスワードを使用するには、ユーザー名も知っていなければなりません。ユーザー名が分からないと、パスワードは役に立ちません。 この状況を例えるなら、どこか外国の車通りの多い高速道路で自宅の鍵をなくしたようなものです。自宅住所などの身元情報が書かれたタグが鍵についているのでなければ、鍵をなくしたことで自宅の安全が脅かされることはありません。パスワードをなくした場合もこれと同じです。 自分のログイン情報が他人の目に触れないようにするには、 ブラウザーのシークレットモード (よく使われているブラウザーにはだいたいあります）を活用してみてください。 VPN を使用するのもよいでしょう。

破られにくいパスワードを作成する方法は、以下のとおりです。

• パスワードの長さを12文字以上にする。長い方が破られにくいです。
• さまざまな文字を適切に組み合わせる。強力なパスワードは、アルファベットの大文字と小文字、数字、特殊記号など、さまざまな要素で構成されています。こうすることで予測されにくく、解読されにくくなります。
• 覚えやすいパスワードにする。比較的わかりやすい「12345-humpty-dumpty-satonthe-firewall」と無作為に文字が並んだ「?Y]G9gWJ48zYkFBc@{nKw!’q」は、大まかに同じくらいの強度ですが、後者を覚えるのはまず無理です。パスワードを作るときには、覚えやすくするためのパスワード作成方法を参考にするか、自分なりの作成ルールを決めてみてください。
• パスワードは専用のものを作成する。アカウントごとに、違うパスワードを作成してください。そうしておくと、万一パスワードの1つが漏洩しても、全部のアカウントのパスワードを変更しないで済みます。

たくさんのパスワードを覚えておいて毎回ログインする手間を省くには、パスワードマネージャーを活用しましょう。カスペルスキー パスワードマネージャー をお試しください。

• 何よりもまず、そのアカウント専用の強力なパスワードを使用する。強力なパスワードを作成する方法については、 こちらの記事 をご覧ください。
• できるかぎり2要素認証（2段階認証と表現されることもある）を有効にする。こうしておくと、攻撃者がユーザー名とパスワードを手に入れたとしても、一度限り発行される確認コードがないとアカウントにログインできません。確認コードを入手するには、テキストメッセージ（SMS）で受け取る方法と、認証アプリ（Google認証システムなど）で生成する方法があります。2番めの要素として認証デバイス（YubiKeyなど）を使用できるWebサイトもあります。2要素認証について詳しくは、こちらの記事 をご覧ください。
• アカウントにアクセスした場所と時間を確認する。多くのWebサイトやアプリでは、ログイン履歴が見られるようになっているので、自分が今どこからログインしているのか確認することができます。知らないデバイスから自分のアカウントに誰かがログインしている疑いがある場合は、必要に応じてログアウトし、安全のためパスワードを変更してください。
• アカウントへのアクセスを復元するためのセキュリティ情報は、慎重に選択する。本人確認用の質問に対する回答を選ぶとき、誰でも簡単にネットで検索できたり推測できたりするものや、自分が忘れてしまいそうなものは使用しないでください。