アカウントを守るログインセキュリティ

いよいよ夏が到来しました。
夏といえば海？花火？かき氷やスイカ？
いやいや、やっぱりキンチョーの虫コナーズでしょう。

キンチョー：虫コナーズのCM「無防備」
https://www.kincho.co.jp/cm/html/mushikonazu_muboubi/index.html

長澤まさみさんのCMでおなじみの虫コナーズ。
「おでこにPW(パスワード)書いて歩いてるようなもんやで」と
おでこをぺちぺちされる兄弟役の仲野太賀さん。

「自分もぺちぺちされたい！」
コロナ禍で人と合うこともままならないご時世で、
そう感じた方も多くいらっしゃるのではないでしょうか？(適当)

そんなわけで今回のテーマはこちら！

いつか憧れの芸能人や有名人にばったり遭遇したとしても
おでこにPWが書いてなければペチペチしてもらえないのです！(多分)
なんとかしておでこにPWを書いておいても対策できる方法を
今回は研究していきましょう！

①とりあえずPWについても勉強しよう！

このままではおでこにPW書きたいだけの人になっちゃうので、
一旦PWに関して真面目に解説いたします。(　･ิω･ิ)ｷﾘｯ

パソコンやスマホのロック解除からサイトのログインまで、
今人類が最も人生の時間を割くことのひとつがPWの設定です。ｸﾞﾇﾇ...

設定する場面によってPWの設定条件は異なりますが、
多くの場合は「英数混合8文字以上」です。
英文字の大文字小文字を混ぜなければならない場合はありますが、
数字だけや英語だけなどの設定ができないのがほとんどです。
(いくら昭和でも「バルス！」で滅びる城があるのは物語の中だけです。)

よくPWは「桁数が多いといい」と言われます。
確かに桁数が多いほうがバレにくいのですが、
劇的にバレにくくなるというわけでは有りません。

このあと詳しく話す内容ですが、
一般的にクレジットカードのPW・暗証番号は4桁数字です。
「0000」から「9999」まで最大1万通り試せばPWは当たります。
各桁の数字が「0~9」の10通りでそれが4桁なので、
「10の4乗」=「1万通り」になります。
もし数字を1桁増やして5桁の場合「10の5乗」=「10万通り」です。

では、PWに数字と英語を使えるとどうなるでしょうか？
仮に「数字(10通り)・英語小文字と大文字(52通り)」で桁数が4桁の場合
「(10+52)62の4乗」=「1677万7216通り」になります。
同じ4桁でも英語を足すだけでPWがバレにくくなることがわかります。
PWには一部の記号が使える場合も多いので
「.(ドット)」や「_(アンダーバー)」等も混ぜるとより強固になります。

また、推測しやすいPWも当然避けるべきです。
顔も名前も知らない間柄でも、IDから連想しやすいPWは危険です。
絶対にやめておきましょう。(例：ID=BarcelonaFC　PW=MessiNO10)

②二段階認証ってなに？

さて、今回のテーマは「おでこPWイケメン/イケジョになる！」でした。
ここからが本題です。

PWを作るだけでは、結局どんなにパーフェクトなパスワードを作っても
おでこにPWを書いてしまえばただのアホ面です。「バルス！」以下です。

おでこにPW書いてみんなに見せびらかしても良いようにするには
「PWがバレても不正ログインできないようにする！」しかありません。
そこで登場するのがこの「二段階認証」です。

一花の記事をご覧の方はある程度ネットに関心があるはずなので、
「一生ガラケーで生きるんだ！」という方は少ないと思います。
そうなると、「LINE」くらいは使ったことがあるはずです。
友達の少ない一花でさえ使ってますから←

スマホを買い替えてLINEにログインし直す時、「SMS(ショートメール)で
コードが送られた」というご経験は皆様もあるはずです。
スマホで設定する場合はそんなに困りませんが、パソコンでLINEを使う場合
手元にスマホがないとログインできないので「面倒やな」と感じたことも
あるのではないでしょうか？

このように、ID/PWがわかっていたとしても、そのLINEを普段使ってる
スマホが手元にない限りはログインできない、というのが
二段階認証の代表例です。　これでIDとPWがバレただけでは
不正ログインをされることはないということになります。

SMSをつかった方法以外でも指紋認証や静脈認証のような
本人がそこにいないと絶対に無理な形式も存在します。
これでPWをデコに書いても大丈夫！ということになります。

ただし、過去の事例を見ると100%安全とまでは言えません。
指紋認証の設定がされていた夫のスマホを覗き見るために、
熟睡中の夫の指をセンサーにあててロック解除をした前例もあります。、
理論上は大丈夫なはずとはいえ100%保証もできないので
「おでこパスワード」は当記事では推奨はしません←
(※ちなみに寝ている間に他人の指を使ってその人のスマホロック解除や
なりすましでログインする行為は「不正アクセス禁止法」に抵触します。
たとえ浮気調査的なものだったとしても訴えられたらOUT！ﾀﾞﾒ､ｾﾞｯﾀｲ!)

③PINコードってやっぱり危ないの？

先程、クレジットカードの暗証番号が4桁であることを話しました。
パソコンやスマホでも4桁数字で本人認証ができる
「PINコード」というものがあります。
皆様一度は不思議に感じたこともあるのではないでしょうか？
不正利用されたらとんでもないことになりうるカードの暗証番号が
たった4桁の数字であることを・・・

実はこれ「全く問題有りません！」

そもそもクレジットカードの利用は
「そのカードを持っているときしか利用できない」という前提があります。
よって店頭で支払うときには以下の条件が必要です。

Ⅰ.カードを持っている
Ⅱ.暗証番号を知っている

2つの条件があるのでこれも立派な「二段階認証」に当たります。
(暗証番号無しでサインという手もありますがカードは必須。)

ちなみにネットショッピングでカードを利用する場合には
暗証番号が一般的に不要です。
そのかわりにカードに書かれている情報を全体的に知っていないと
支払い登録ができないようになっているので、
こちらも基本的にはカードがないと利用できないようになっています。

共通するのは「カードを盗まれたらやばい」ということなので、
暗証番号が4桁の理由を考えるより、どうやったら盗まれないかを
考えておくべきです。　それこそ、おでこに貼っちゃ駄目ですよ？

また画像にもあるように、PWとPINコードの違いは
「その番号が合っているかどうかをチャックしている場所」にあります。

SNSにログインする時、入力したPWが合っているかどうかをチェックする際
SNS側のサーバーでその認証を行います。
実際には暗号化した上でその情報が合っているかどうかをチェックしますが
途中で通信傍受したり、SNS側のシステムをハッキングすることによって
暗号化済みのPWを盗める可能性が残されます。
暗号化する前のPWを復元できればPW漏洩が成立です。

一方PINコードに関しては、番号があっているかどうかの確認は
カード本体やスマホ本体に保存されている番号と称号をするので
ネットを通じて番号を送信する必要がありません。
よって通信傍受を受けるということは有りませんし、
カード会社等のシステムにPINを保存する必要がないので、
システムハックされてもPINコード漏えいは起きません。
(顧客情報が漏れたりする場合はあるので、その後のフィッシング攻撃等には
備えておく必要はあります。)

よってPWやPINコードを使うときに気をつけるべき点は以下の通りです。

PW>>>バレにくい強PWを設定する。　二段階認証を活用する等。
PIN>>>PINコードを使う端末やカードを死守する。

④IDって複雑な方が良い？

メジャーリーグでは連日のように大谷選手が活躍されていますが、
大谷選手に熱烈アプローチを掛けている女性ファンの方も話題です。
(とてもほっこりしますよね笑)

彼女は応援ボードにデートのお誘いメッセージと、SNSのユーザー名を
堂々と記載していることでも話題になっていますが、
そもそもIDはわかりやすいものは避けるべきなのでしょうか？

答えは単純。「ぶっちゃけどうでも良い←」です。

当然ですが、IDがわかってもPW不明ではログインできません。
それができるならPWとの仁義なき戦いなどしなくてすみます←
IDは「identification」という「識別」を示すものなので、
自分らしさが出る短い単語でも使ったほうがかっこいいことでしょう。
(例：一花のGmailアドレス「litbus.h2@gmail.com」は
Ritaさん楽曲「LittleBusters!」と「平成2年」生まれが由来)

逆に長いものになれば長いものになるほど覚えにくい上に、
SNS等で表示されるものに関しては「偽アカウント」と見分けにくいので
フォロワーの多い方であれば短いIDを心がけ混乱を招かない工夫とすれば
フォロワーへの配慮になるかもしれません。

⑤パスワードについておまけ情報

従来から「PWは定期的に変更しましょう」というアドバイスが
渡る世間どこもかしこにもはびこっていますが、
実はPW変更を不要としている団体もあります。
意外かもしれませんが、総務省です。

総務省：「安全なパスワード管理」
様々な意見があると思いますが、一花個人は非常に納得です。

そもそもPW自体が漏洩する可能性は「PW変更の有無」に
左右されるわけでは有りません。
たとえ定期的に変えていても、すぐバレそうなパスワードはバレるし、
バレにくいものは時間が立ってもバレにくいのです。

また、総務省のページでは「リスト型攻撃」回避のために
あちこちのサイトで同じPWを利用しないことを勧めています。
こちらも割と納得できます。

通常、PW搾取の目的は最終的になりすましログイン等ですが、
多くの場合すぐに利用するのではなく、盗んだID/PWを
ネット上で情報販売することで利益を生むものが多いと言われています。
(参照「CANON ESET SPECIAL SITE」：ダークウェブ)

自分でなりすましをする場合、なりすましたところでメリットがない
興味のないサイトでなりすましはしないと思いますので、
あちこちのサイトのID/PWを収集しようとは考えないでしょう。

一方、情報を売る場合、品揃えの豊富さは大きなセールスポイントです。
どこか一つでID/PWを盗んだときに他のサイトでも同じID/PWなら
まさに宝の山というわけです。

今回の記事を通してPW以外の大事なものとして二段階認証を挙げました。
結果的に二段階認証を設定していればPW漏洩自体は
それほど大きな問題にならないと思いますが、
設定が面倒で二段階認証を設定していない場合はPW漏洩で実質OUTです。

二段階認証をしていない場合、PWを盗まれたときの対策は
「不正利用をされる前にPWを変更」することのみです。
そういう意味ではPW変更をこまめにやっておくといいのですが、
そもそも二段階認証が面倒な方は絶対にやらないことでしょう。
二段階認証を利用したほうが安全で労働効率もいいと思います。

さいごに

今回のテーマはログインのセキュリティでした。
この記事が流行り始めれば「おでこPW」は一流ファッションの地位を
確固たるものになることでしょう。(ん？)

現代社会では暗号資産なども多くの人に認知されており、
まさに情報は金より重いといって良い時代になりました。

この記事を含むセキュリティマガジンの内容も踏まえ、
皆様の情報保護に役立つ機会があれば幸いです。