デジタル活用術01 「パスワードは覚えるな」
(この記事は、「イラ通・スクール」の「デジタル活用術01 「パスワードは覚えるな」を転載したものです。)
電子メール、銀行、ネットショッピング、アプリなど、さまざまなサービスでパスワードを入力する機会がありますよね。
しかし、プロのハッカーなら、安易なパスワードを突破するのはさして難しいことではありません。
果たして、どんなパスワードなら安全なのでしょう?
また、パスワードの使い回しも、危険です。
一つのパスワードが漏れたことをきっかけに、あらゆるサービスで不正にログインされる可能性があります。
でも、数多いパスワードの全てを覚えるなんて、できないですよね。一体、どうしたらいいのでしょう?
今回は、安全なパスワードの設定方法や管理方法について講義します。
■ ハッカーが、このパスワードを突破するのに要する時間は?
まず質問です。
ハッカーが、このパスワードを突破するのに要する時間はどれぐらいかわかりますか?
「1234」
少し考えてみてください。
……
答えはーー
「1秒以下」です。
では次にーー
次のパスワードならどうでしょう?
「6025183509」
少し複雑になりましたよね。
これなら大丈夫でしょうか?
いえいえ、そんなことはありません。
これも、「1秒以下」で突破されます。
数字だけのパスワードでは、ハッカーの侵入をいとも容易く許してしまうのです。
じゃあ、これならどうでしょう?
「2p61kaR」
かなり複雑になりました。
数字だけではなく、英文字の小文字や大文字も含んでいます。
今度こそ大丈夫でしょうか?
どれぐらいかかるかわかりますか?
答えはーー 「1分」です。
これまでの「1秒」に比べれば、60倍の時間がかかります。
かなりかかりました。
でも、ハッカーを防ぐためには、なんの役にも立たないことがわかりますよね?
参考ページ:https://zenn.dev/miumi/articles/feed09a7438c63
このページのネタ元は、こちらの英語ページのようです。
このページではきちんと説明されていないようですがーー
これは、使われている文字の組み合わせの全てを試すのに要する時間だろうと思います。
すべての組み合わせを試し終わるまでのいずれかの段階で、そのパスワードにヒットする可能性があります。
例えば、「数字+英語小文字+英語大文字で8文字のパスワード解析にかかる時間は、1時間」とされていますが、「半分の30分で解析される可能性も50%ある」ということになると思います。
さらに、10分の1の「6分」で解析される可能性も、10パーセントあります。
なので、上に紹介したページの時間はあくまで参考としてください。
「実際には、もっと少ない時間で解析される可能性がある」ということを考慮して、パスワードを定めるべきなのです。
また、パソコンの性能に関しての言及がありませんがーー
パソコンの性能によっても時間は大きく変わるはずです。
しかも、パソコンの性能は、日進月歩です。
将来は、さらに短くなっていくだろうと思います。
■ もしも、ハッカーに突破されたら、どうなる?
もしも、ハッカーに突破されたら、どんなことが起こるでしょう?
例えばこんな可能性があります。
メールアカウントを乗っ取られ、取引のあるクライアント様にウィルスメールをばら撒かれるかもしれません。ウィルスによってクライアント様の事業が止まったら、莫大な損害が出るでしょう。考えると、怖いですよね。
あなたのポートフォリオ・サイトが、悪意ある内容に書き換えられる可能性もあります。ヘイトな内容だったり、アダルトな内容だったりする可能性もあります。
SNSを乗っ取られて、フェイク情報を発信されてしまうかもしれません。
オークションやフリマのアカウントを乗っ取られたら、勝手に出品されて、売上だけを受け取ったハッカーが行方をくらますかもしれません。そうなると、あなたには「商品が届かない。返金して」という苦情が殺到するでしょう。
ショッピングサイトで勝手に買い物をされる話もよく聞きます。
銀行口座から勝手に送金されることも、あるようです。
そして漏れたパスワードは、ダークWebなどで販売されることもあります。あるいは、ダークWebで公開されてしまうことも多いです。
一度漏れたパスワードは、いずれ、世界中のハッカーに知れ渡るのです。
しかも、販売や公開されているパスワードは、ログインIDとセットになっていることが多いです。
世界中のハッカーが、AMAZON、Rakuten、PayPal、Twitter、facebook、Google、Yahoo、各銀行など、あらゆるサービスで、あなたのIDとパスワードを試すことになるでしょう。
同じものが使われていたら、次々と不正ログインされます。
とても残念なことですが、インターネットの世界で性善説に立つことはとても危険です。
インターネットは「世界中の悪意に満ちた人々が、善人の隙を狙ってうごめいている」と考えておく必要があるのです。
■ 安全なパスワードとはーー
「安全だ」と言われているパスワードは次のとおりです。
「数字+英大文字+英小文字+記号で、12文字以上」
これなら、例えプロのハッカーでも、すべての組み合わせを試すには、34,000年かかるそうです。
途中で解読される可能性を考慮しても、かなり安全性が高いです。
ただし、9つの注意点があります。
○パスワードを作る際の注意点9つ
1)良くある単語の英文字をよく似た記号や数字に変更しただけのパスワードは、使わない。(「S」→「$」、「a」→「@」、「t」→「+」、「I」→「1」、「O」→「0」など)
2)自分や家族の名前や生年月日をもとにしたパスワードは使わない。
3)辞書に載っている単語をもとにしたパスワードは使わない。
4)人名や地名をもとにしたパスワードは使わない。
5)ネット上を検索すると出てくる言葉や文章をもとにしたパスワードは使わない。(「ILoveYou」や「aishiteru」など)
6)アニメ・漫画・小説・音楽・映画・漫才師などにまつわる言葉をもとにしたパスワードは使わない。(「ONEPIECE」「kusamakura」「YMO+RYDEEN」「YONEDA2000」など)
7)キーボードの配列をもとにしたパスワードは使わない。(例えば、一見複雑に見える「qwerty」は、キーボードの左から順に入力しただけのパスワードです。キーボード上を斜め移動なども、よく使われる手として、ハッカーたちには知られています。)
8)「よく使われるパスワード」として世に出ているものは使わない。
セキュリティ企業ノード セキュリティによると、「2021年度、最も使われたよく使われたパスワード」は次のとおりです。
順位
世界のランキング
1位 123456
2位 123456789
3位 12345
4位 qwerty
5位 password
6位 12345678
7位 111111
8位 123123
9位 1234567890
10位 1234567
11位 qwerty123
12位 0
13位 1q2w3e
14位 aa12345678
15位 abc123
16位 password1
17位 1234
18位 qwertyuiop
19位 123321
20位 password123
日本のランキング
1位 password
2位 123456
3位 123456789
4位 12345678
5位 1qaz2wsx
6位 member
7位 asdfghjk
8位 12345
9位 password1
10位 1234567890
11位 asdfghjkl
12位 asdf1234
13位 qwertyuiop
14位 qwerty
15位 sakura
16位 1q2w3e4r
17位 qwer1234
18位 abcd1234
19位 zaq12wsx
20位 qwertyui
※参考ページ:https://internet.watch.impress.co.jp/docs/column/dlis/1376907.html#01_l.png
世界13位の「1q2w3e」は、キーボードの「1」キーの次に斜め下の「Q」キーを打ち、「2」キーに戻って「W」キー、「3」キーに戻って「E」キーと、順に繰り返して打っただけのものです。
一見複雑に見えますが、たくさんの人に使われているので、真っ先に試されるパスワードの一つです。
さらに、よく使われるパスワードの500位までが載っているサイトもあります。
https://gigazine.net/news/20090105_bad_password/
9)同じパスワードを使い回ししない。
使い回ししていると、一つのパスワードを突破されたことをきっかけに、次々と他のサービスも乗っ取られます。
でも、私たちはいくつものサービスを使っています。
そのすべてのパスワードを覚えることなんてできません。
一体、どうすればいいのでしょう?
■ Apple製で揃えているなら、パスキーが便利
そもそも、パスワードを覚えようとしてはいけません。
自動生成し、自動で保存する機能を使いましょう。
Apple製のiMac・iPhone・iPadは、パスワード自動生成、および保存機能がついています。(古い機種は対応していないことがあります。)
・MAC Safari のパスワード自動生成機能:
https://support.apple.com/ja-jp/guide/safari/ibrwf71ba236/mac
・iPhone のパスワード自動生成機能:
https://support.apple.com/ja-jp/guide/iphone/iphf9219d8c9/ios
・iPad のパスワード自動生成機能:
https://support.apple.com/ja-jp/guide/ipad/ipadd11f1468/ipados
こうして作られたパスワードは、iCloud上に自動的に保存されます。
次回おなじサービスにログインする際は、パスキーによって、自動入力されます。
パスキーは、デバイスの身体認証機能と組み合わせて、自動的にパスワードを入力する機能です。
(パスキーを使うには、iOS 16、iPadOS 16、macOS Ventura以降のOSが必要です。デバイスには、身体認証機能が必要になります。)
パスキー:https://developer.apple.com/jp/passkeys/
私は、iMac・iPhone・iPadとすべてのデバイスをアップル製で揃えています。
すべてのデバイスでおなじApple IDを使っていますので、パスワードも自動的に同期します。
iPhoneでパスワードを自動生成し保存しておけば、iMacでおなじサービスにログインする際も、キーボード上で指紋認証するだけでOKです。
それだけで、パスワードは自動入力され、そのままログインできます。
これで、安全なパスワードを考える必要もないし、記憶する必要もありません。
わたしは、パスワードの煩わしさから解放されています。
サイトによっては記号の使用が不可だったり、文字数がオーバーしてしまったりして、自動生成されたパスワードが使えないこともあります。
その場合は、記号を省いたり文字数を減らしたりして、そのサイトで使用可能なパスワードに変更しましょう。
変更しても、変更されたパスワードを記憶してくれます。
ただし、今のご時世に、パスワードに記号が使えなかったり、文字数が12文字以下だったりするようでは、問題があります。
そのサービスは、セキュリティ意識が低いと言わざるをえません。
■ Apple製で揃えているなら、使用済みパスワードの安全性を確認しよう
Apple製のOS(MacOS13以降、iOS16以降)なら、使用済みのパスワードが安全かどうかを確認できます。
MacOSの場合は、「システム設定」→「パスワード」を開いてみましょう。
上の画像の「セキュリティに関する勧告」という部分に緑の丸にチェックマークが入っていたら安全です。
「問題がある」と表示されている場合は、右鉤括弧をクリックしてください。
クリック後、上のような画面となり、問題のあるパスワードが一覧表示されます。
(私の場合は、問題のあるパスワードがないので、何も表示されていません)
「推測が容易なパスワード」
「すでに漏洩しているパスワード」
「よく使われがちなパスワード」
「使い回しされているパスワード」
などが、問題のあるパスワードとして表示されます。
問題のあるパスワードは、一つひとつ、パスワードを変更していきましょう。
ただし、同じサービスのドメイン違いなどの場合も「使い回しされているパスワード」として表示されることがあります。
変更前に内容をよく確認しましょう。
「漏洩したパスワードを検出」の部分は、オンにしておきましょう。
ダークWebにあなたのパスワードが漏洩していないかを巡回してくれます。
iPhone や iPad でも、「設定」から同様のことができます。
■ 総合セキュリテイソフトのパスワード管理機能を使う
私はApple製で揃えていますが、Windows パソコンや Android スマホを使っている人もいるでしょう。
その場合は、総合セキュリテイソフトのパスワード管理機能を使う方法があります。
例えば、私の使っているノートン360には、パスワード管理機能がついています。
https://jp.norton.com/feature/password-manager
これなら、「Windows + iPhone」「Mac + Android」「Windows + Android」といった組み合わせでも、パスワードを自動入力し、保存することが可能です。
しかも、異なるデバイス間で同期できます。
そして、ノートン360にも、ダークWeb監視機能がついています。
ダークWebに個人情報が漏れていないか常に監視してくれます。
私は使ったことがないのですが、McAfeeにもパスワード管理機能がついているようです。
McAfee:https://www.mcafee.com/learn/password-manager/
ところでーー
あなたがプロのイラストレーターであるならば、有料の総合セキュリティソフトは必ず導入しておきたいです。
そして、パソコン、スマートフォン、タブレットなど、仕事で使用するデバイスの全てにインストールしておきましょう。
■ パスワード管理アプリを使う
専用のパスワード管理アプリを使う方法もあります。
異なるOS間でパスワードを同期させることが可能です。
使用前に、あなたが使っているOSに対応しているかどうかを確認しましょう。
「信頼できる企業の製品かどうか」も大事です。
「パスワード収集が目的のパスワード管理アプリもある」という噂があります。
真偽はわかりませんが、用心するに越したことはないでしょう。
無料だからと、あまり聞いたことのないアプリに手を出すのはリスクがあると思います。
有名なパスワード管理アプリを、二つ挙げておきましょう。
○ 1PASSWORD:https://1password.com/jp/
対応OS:Mac OS、iOS、Windows、Android、Linux、Chrome OS
パスワード自動生成可能。
生体認証対応。
二段階認証対応。
パソコンとスマートフォンの同期可能。
○ Keeper:https://www.keepersecurity.com/ja_JP/
対応OS:Mac、iOS、Windows、Android
パスワード自動生成可能。
生体認証対応。
二段階認証対応。
パソコンとスマートフォンの同期可能。
■ これらを使っていても、どうしてもわからなくなった時は?
簡単です。
パスワードをリセットしましょう。
それが最も安全です。
■ ネットバンクでは、ワンタイムパスワードを使う
ネットバンクでは、さらに安全性が高いと言われるワンタイムパスワードを使いましょう。
ただし、ワンタイムパスワードも万能ではありません。
実際に、ワンタイムパスワードが破られて勝手に送金されたケースが報告されています。
その手口はこちら:https://xtech.nikkei.com/atcl/nxt/column/18/00676/101600090/?P=2
被害に遭っている人は、まずフィッシングサイトで個人情報を盗まれています。
フィッシングサイトに引っかからないようにするためには、総合セキュリティソフトが有効です。
もちろん、フィッシングサイトに関する知識を持ち、日頃から用心する必要もあります。
そして、電話等でワンタイムパスワードを聞かれても、答えてはいけません。
銀行が電話でワンタイムパスワードを尋ねることはないです。
皆さんは、騙されないようにしましょう。
■ 「バックアップコードを保存してください」と言われたら
2段階認証のサービスでは、バックアップコードを保存するように促されることがあります。
これはこれまで書いた方法では、保存できません。
「プリントして大事に取っておきなさい」と、書かれていることが多いのですがーー
プリントアウトしておいても、無くしそうですよね。
私の場合は、MACOSのメモアプリに保存して、ロックをかけています。
ロックをかけると、パスワードを入力しないと表示されません。
安全のため、Apple IDへのログインは、必ず、2段階認証にしておきましょう。
Windows や Android なら Evernote などのメモアプリがいいでしょう。
Evernote も、暗号化することで、表示されなくなります。
また、Evernoteの2段階認証も、忘れないようにしておきましょう。 Evernote:https://evernote.com/intl/jp Evernoteの2段階認証:https://help.evernote.com/hc/ja/articles/208314238-2-%E6%AE%B5%E9%9A%8E%E8%AA%8D%E8%A8%BC%E3%82%92%E8%A8%AD%E5%AE%9A%E3%81%99%E3%82%8B
「イラストレーターズ通信」は経済的にとても苦しく、森流一郎は借金をしてなんとか運営を続けております。もしよろしければ、サポート(投げ銭)をお願いします。団体の活動資金とさせていただきます。