No151 同じパスワードの使いまわしはどうしてダメなのか?
このメルマガでは毎年のように強いパスワードの作り方について
解説をしています。
前回の配信(No99)から一年経ちましたので、改めてパスワード
についての解説をします。
2021年4月7日追記
この記事は2020年の記事です。
2021年のアップデート版を公開済みです。
No203 パスワードの使い回しがダメな理由2021
パスワードの大切さは誰しもわかっているはずです。
それでも、単純なパスワードや同じパスワードの使いまわしに
よる情報漏洩事故は今も起きています。
今回はそのうち「同じパスワードを使いまわさない」点について
解説します。
単純なパスワードを避けて、強いパスワードを作る方法については
次回解説します。
1. パスワードはサービス毎に変えましょう
ここ数年、同じパスワードの使い回しを止めましょうと言われる
ことが多くなりました。
なぜ、同じパスワードを使うのがダメなのでしょうか?
犯罪者が、IDとパスワードを入手したらあちこちのサービスに
片っ端からログインしてみる、というのが最近のトレンドです。
つまり、ひとつのサービスのログイン情報が漏れると、同じパス
ワードを使っている全てのサービスで被害を受ける可能性がある
のです。
でも、自分が使ったことのある全てのサービスなんて覚えてます?
中には一度だけ使ってそれっきりというのも、ありがちな話です。
滅多に使わないサービスや登録したことすら忘れているサービスも
同じパスワードだと、仮に「情報漏洩があった!」というニュース
を見ても「ふーん、俺には関係ないや」と思い、他のサービスの
パスワードを変更しなきゃ!とはならないでしょうから、さらに
危険です。
自分でパスワードを漏らしてしまうなんてことはないとしても、
サービス側への攻撃によって漏洩する事件は後を絶ちませんし、
利用者にそれを防ぐ手立てはありません。
そのような被害から身を守るためには、同じパスワードを使わない
ようにするしかないのです。
2. 全部変えるなんムリ...
だからといって、全てのサービスのパスワードをそれぞれ別のもの
にするというのは、あまり現実味がありません。
現代は、ネットを使おうとするとすぐにアカウント作成を求め
られますから、数十、数百のアカウントを持っていることも
珍しくありません。
そもそも登録したことすら忘れているサービスなんてパスワード
変更できるはずもありませんから。
ここで筆者がオススメするのは、パスワードを次の3レベルに
分け、最上位レベルのものだけ覚えておこうという方法です。
この方法のオリジナルはマイクロソフトの技術者の論文です。
この方法はその論文を参考に、筆者のアイデアを盛り込んだもの
です。
まずは所有するアカウントを次の、3レベルにわけます。
○継続利用するアカウント
○継続利用するかどうか決められないアカウント
○利用しないアカウント
3. 利用しないアカウントは廃棄申請
利用しないアカウントは廃棄手続きをします。
使わないアカウント全てを廃棄するのはえらく手間のかかる話です
が、万一その事業者でパスワードの漏洩事件が起きた時に影響を
受けないための重要な自衛手段となります。
とはいえ、業者が本当にデータを消してくれるかどうかはわかり
ませんので、対策としてサービス廃棄前にパスワードをテキトー
なもの(例えば123456のような弱いパスワード)にしておきましょう。
4. 継続利用が決められないアカウントはパスワード変更
継続利用するかどうか決められないアカウントは、自分が普段使って
いるのと違った、その場で思い付いたパスワードに変更します。
例えば、その時コーヒーを飲んでたから、coffee-daisuki-pequ
(最後の4文字は適当に打った文字)なんてので構いません。
当然、3日もすればわからなくなりますが、それでいいのです。
そのアカウントを再利用したくなった時には、パスワードの再発行
を依頼します。(多くの場合、自動応答のメールが来てパスワード
の再設定ができます)
万一洩れてもそのパスワードは本人も忘れているくらいですから、
他のサービス用のパスワードと同じになるはずがありません。
ログインできなければ被害も広がらないわけです。
もちろん、パスワードの再発行が面倒なのは事実ですが、だからと
いって同じパスワードを使って悪用されることを考えると、再発行
の手間を措しむのはあまり得な判断ではないと思います。
5. 継続利用するアカウントの扱い
残るのは、継続利用するアカウントのみです。
不要アカウントを整理すれば、残るのは多くても数十程度でしょう。
それでも、それぞれ固有のパスワードを覚えるのは容易ではありま
せん。
誰しも思いつくのは、ブラウザに内蔵されたパスワード保存機能を
使うことでしょう。
また、最近は優れたパスワード管理ソフトが登場しています。
こういったものを使うのもよいでしょう。
もちろん、昔ながらの手書きメモは今も有効な方法です。万一、
PC(パソコン)やスマホがウイルスなどに侵入されても手書き
のメモは安全ですからね。
以下では、その概要を紹介します。
6. パスワードを忘れないために(パスワード保存機能)
最近のブラウザにはパスワード保存機能がついています。
これは、利用者が入力したパスワードを覚えておき、同じ画面を
表示すると、覚えておいたパスワードを自動入力してくれるもの
です。
これは確かに便利でお手軽な方法です。
使っている方も多いと思います。
が、これにはいくつか問題があります。
まず、パスワードを記憶した特定のブラウザでしか使えないという
のがあります。同じ機器を使う限りは問題ないのですが、他の機器
を使おうとすると、パスワードがわからないというのは困ります。
また、その機器が故障したり、盗難にあったりした時も全てのパス
ワードがわからなくなりますから大変です。
パスワード保存機能を使うなというのは極端ですが、全てをこれに
頼りきるのは危険です。
頻繁に利用するサービスだけは覚えさせるなど、範囲を限って
うまく活用してください。
7. パスワードを忘れないために(パスワード管理ソフト)
次は、パスワード管理ソフトを使う方法です。
これはパスワード管理専用ソフトで、ブラウザ以外のソフトから
も使えます。
以前はブラウザのパスワード保存機能に毛が生えた程度のもの
でしたが、最近はパスワードの自動生成や重複したパスワード
の警告機能といった同じパスワードを使わなくて済むための機能
を搭載したものが登場しています。
パスワード管理ソフトは自身の情報資産をまるごと預けるのと
同じ意味を持ちますので、筆者としては積極的にオススメする
ものではありません。
ですが、どんな方法を使ってもリスクゼロにはできないのです。
とすれば、現実解としてはパスワード管理ソフトの利用という
のも悪くない選択肢ではないかと最近は思うようになりました。
ただし、無料の管理ソフトはダメですよ。
自分の情報を全て預けるサービスなのです。
せめてそれくらいはおカネを払うサービスを利用しましょう。
8. パスワードを忘れないために(メモ)
メモといっても、手書きのメモと電子的なメモの2種類が
あります。
手書きメモは文字通り手帳などのメモです。
原始的な方法ですが、意外に安全です。
ただし、メモをふせん紙を書いてディスプレイに貼り付ると
いった、見えるところに置くのはNGです。
一方、電子的なメモはスマホやPCに電子データを置いて
おくわけですから、パスワードのコピー&ペーストが簡単に
なるなど使いやすくなる半面、ウイルスなどによって盗み
取られる可能性も出てきます。
このようにパスワードを保管、管理する方法はいろいろと
あります。
自分に合った管理方法を見つけて、同じパスワードの使い
回しを避けるようにしましょう。
次回は、サイトごとに違った強いパスワードを作り方について
解説します。
次回もお楽しみに。
この記事は私が主宰する「がんばりすぎないセキュリティ」の
ものです。毎週月曜日の早朝に配信しています。
タダですので損はさせません(笑)
是非ご登録ください。
https://www.mag2.com/m/0001678731.html
この記事が気に入ったらサポートをしてみませんか?