当社は、ユーザーがログインしたり、パスワードの変更を行うたびに、Dropboxで開発されたzxcvbnアルゴリズムを使用してユーザーのパスワードに「クラックタイム」を割り当てます。このクラックタイムは、当社のデータベースにアクセスできる仮定上のオフライン攻撃者がパスワードを解読するのにかかる推定時間を示しています。この方法の詳細については、こちらをご覧ください。
zxcvbn: realistic password strength estimationパスワードは8文字以上で、推定オフラインクラックタイムが6,000秒を超えていなければなりません。当社は、数字、特殊文字、またはパスワードの最大長に関する根拠のない制約を課していません。ただし、72文字を超えるパスワードは切り詰められます。
Coinbaseは、1PasswordやLastPassなどのパスワードマネージャーソフトウェアの使用を強くお勧めしています。パスワードマネージャーは、訪問したウェブサイトごとに、ランダムでユニークなパスワードを生成することができます。また、お客様に代わって自動的にパスワードを入力し、フィッシング攻撃からお客様を保護します。
パスワードマネージャーを使用しない場合は、Coinbase口座専用の長くてランダムなパスワードを使用してください。他のウェブサイト、特にご利用のメールアカウントのパスワードを使い回すことは避けてください。パスフレーズ(文や単語のグループ)を使うことはできますが、文学作品や映画の文言を選ばないでください。ハッカーたちはそうした引用文の高度なデータベースにアクセスできるためです。
当社は、すべてのパスワードをインターネット上のパスワードダンプや漏洩データと照合してチェックします。これらのダンプのいずれかでお客様のパスワードが見つかった可能性があります。このような場合は、すぐにパスワードを変更することをお勧めします。
Coinbaseは、ワークファクター12のbcryptアルゴリズムを使用して、すべてのパスワードのソルト化とハッシュ化を行います。当社がお客様のパスワードをプレーンテキストとして保存することはありません。
確認するには、ログインしてこのページにもう一度アクセスしてください。