こんにちは。ノッツです(^o^)/
インターネットやスマホを使う上で、アカウントを1つや2つ持っていると思います。
アカウントを作る際にはパスワードを登録しますが、その際のパスワードはどうやって決めて作っていますか?
そのパスワードが本当に大丈夫なのか改めて考える機会になればと思い書いていきます。
フィッシング詐欺の拡大被害
前回、フィッシング詐欺で考えられる被害について書きました。

フィッシング詐欺の被害がそのサービス内だけにとどまれば最小限に被害が抑えられたと言えますが、そのサービスを超えて被害が拡大して発生することもあります。
上の画像は、私が学生のときに講義で発表する際に作った図を少々変更して持ってきたのですが、最悪の場合こんなことが起こり得ます。
悪意がある人がフィッシング詐欺メールなどで、例えばFacebookのIDとパスワードのアカウント情報を入手したとします。
そして、そのアカウント情報を使ってTwitter、Amazon、LINEなどのサービスにログインを試みます。もし、ログインができれば、そのアカウントも乗っ取り成功ということになります。
つまり、フィッシング詐欺で1つのアカウント情報を盗むと、他のWebサービスで同じパスワードを使っている場合、そのアカウントも乗っ取られる可能性があるということです。
フィッシング詐欺の拡大被害に合わないためには
ウイルス対策ソフトを導入したり、フィッシング詐欺に遭わない為の知識を持つことは重要が、例えフィッシング詐欺に気をつけていたとしても、自分のアカウント情報が漏れる可能性が実はあります。
ときどきニュースになりますが、企業のアカウント管理サーバーへの攻撃や管理者のミスなどでアカウント情報が流出してしまう場合です。
流出してしまった場合も上記で説明した拡大被害に遭ってしまう可能性があります。
こういった、拡大被害に遭わないためにはパスワードの管理設定が重要となりますので、正しいパスワードの設定方法について説明します。
アカウントごとにパスワードを変える
同じパスワードを様々なサービスで使いまわさないということです。
新しく考えるのが面倒くさい、覚えるのが大変といった理由で同じにしている方がほとんどだと思います。
しかし、同じパスワードを使いまわすことは、かなりリスクが高いということを頭の中に入れておいてください。
上記でも説明したように、一つのアカウント情報が漏れた場合にリスクが高いためです。
複雑なパスワードにする
安易なパスワードで登録しないことが大切です。
私の周りにも「考えるのが面倒だから」「覚えるのが大変だから」などといった理由で、簡単なパスワードを使っている方が多いです。
実はこれかなり危険です。
簡単なパスワードであるほど、コンピュータで解読されやすいためです。また、誕生日や生年月日をパスワードとして使っていたら、想像が容易にできでしまいます。
安易なパスワードにせずに、アルファベット、数字、記号などを組み合わせたパスワードにすることが需要です。
例えば、「jN6%d,U6Y,K8jhGia5#33-h@hJ$k3H7;H7U」といったようにランダムで長めに組み合わせるのが一番良いです。
ちなみに、2014年でもっとも人気のある、そして危険なパスワードをSplashDataが公開しています。
この中にパスワードがもしあれば、今直ぐにでもパスワードを変更したほうがいいですよ。するべきです。
- 123456
- password
- 12345
- 12345678
- qwerty
- 123456789
- 1234
- baseball
- dragon
- football
- 1234567
- monkey
- letmein
- abc123
- 111111
- mustang
- access
- shadow
- master
- michael
- superman
- 696969
- 123123
- batman
- trustno1
辞書に載っている単語は使わない
人は覚えやすいパスワードにしがちです。
例えば、「soccer」など、辞書に載っている単語です。
上記でも説明したように、パスワードを複雑にするのは重要ですが、辞書に載っている単語を使うのは危険であるということを知っておいてください。
「辞書攻撃」というのがあり、辞書に載っている単語で総当りにログインを試みるという攻撃があるからです。
定期的にパスワードを変更する
パスワードを定期的に変更することは、不正ログインなどの被害リスクを減らします。
アカウントを大量に持っている場合は変更することは大変だと思いますが、被害リスクを考えると変更しておいたほうがいいと言えます。
パスワード管理アプリを使う
パスワードはどうやって管理していますか?
メモしている、記憶している、そもそも同じパスワードを使っている、などといったことがあるかと思います。メモしている場合、大量のパスワードを記憶するのは難しいですし、外出先での確認難しいです。
そんな時に便利な「パスワード管理アプリ」というものがスマホのアプリにはあります。
Androidでは、パスワード管理マネージャー、パスワード管理ソフトといったアプリがあります。iOSでは、パスワード金庫Lite、1Passwordといったアプリがあります。
筆者は「1Password」を利用してパスワードを管理しています。
Mac版もあるのでiOS端末とMac端末でパスワードを同期できて管理できて非常に便利です。
ランダムなパスワードを作れますし、パスワードを長い期間変更していない場合は警告もしれくれます。
おすすめですよ。
ただし、パスワード管理アプリを使う際は注意すべき点があります。
パスワード管理アプリを使っていて、使っているパスワードを紛失してしまった場合に最悪な事態に陥る可能性があるためです。
そのため、パスワード管理アプリを使う場合は、端末自体にパスワードを必ず設定します。
そして、パスワード管理アプリを起動するときのパスワードを設定できるので、そのパスワードも必ず設定します。
この2つのパスワードを忘れると大変なので、必ずメモするなり忘れないようにする必要があります。
2段階認証を使用する
2段階認証というものを利用することで、よりセキュリティを高めることができます。
2段階認証とは、ログインする際に予め登録してある「パスワード」とログインするときに毎回送られてくる「認証コード」の2つを使うことにより、セキュリティを高める認証のことを言います。
パスワードと認証コードを使ってログインするので、不正ログインをさせずらくすることができます。
この2段階認証は、使うことができるWebサービスと使えないWebサービスがありますが、Google、Apple、Facebook、Twitter、Evernote、LINEなど、多くのWebサービスで使えます。
また、オンラインバイキングでお金のやりとりをする際に、パスワードがそのときに発行されるワンタイムパスワードという、2段階認証と似たようなものもあります。
2段階認証を使用するとログインの際に少しは面倒になりますが、自分を守るためにも必ず使用するようにしましょう!
追記:Twitterについては、以下の記事に書きました。

さいごに
単純なパスワード、ランキングに載っているパスワードにもししていたらパスワード今直ぐにでも変えるべきだと思います。
フィッシング詐欺は今後もさらに巧妙化してくると思うので、いつ被害にあるか分かりません。
被害を最小限に抑えるためにも、今一度パスワードについて考えてみてください。
追記(2016.05.21):芸能人のアカウントが不正アクセスされた事件が発生しましたが、改めてセキュリティの意識が低いと感じました。そこで、パスワードに関することなどを再び書きましたので、こちらも読んでいただけたらと思います。

関連 フィッシング詐欺で想定される被害は自分が思っている以上に恐ろしい
コメント