パスワードの管理方法 と 漏洩 リスク
本人認証をする上で最も使用されている方法が ログイン ID と パスワード の入力。
最も原始的な パスワード 解析は、ユーザーIDと パスワード の組み合わせを一つずつ試していく「 ブルートフォースアタック 」という総当たり攻撃。
当然、使用されている文字数が多いほど解読に時間がかかり、少なければ短時間で突破されることになる。
ダークウェブ ではハッキングツールのほかハッキングの請負も多い。
SNS の場合 ハッキングの相場は だいたい4万~5万円で、自分にハッキングのスキルがなくても、依頼すればアカウントの乗っ取りは可能だったりする。
もちろん取引が正常に行われる保証はどこにもないが。。。
2019年7月1日にサービス開始と同時に不正利用が発覚し、2ヶ月後の9月30日にサービスを終了した スマートフォン決済 7 pay は、認証システムや セキュリティ の甘さが散々指摘されたが、どれほど難解な パスワード を使用していても、それらの情報を保存しているサーバが攻撃され、データが抜かれると為す術がない。
「7pay」会見まとめ:9月末でサービス終了、不正利用で3861万円の被害
危険 な パスワード
「 危険 な パスワード 」は毎年公表されているにも関わらず、未だに上位陣は不動。
SplashData’s Top 100 Worst Passwords of 2018
- 123456
- password
- 111111
- qwerty
- sunshine
- iloveyou
- admin
多くの ログイン IDはメールアドレスなので、メールアドレスを入手して公表されている「 危険 な パスワード 」を総当りすれば、確率的に何人かは突破できるはず。
また、特定の人物を標的にした場合、誕生日などその人物に関連したキーワードの総当りで突破されているケースも多い。
セキュリティ 研究者 トロイ・ハント氏が運営する アカウント情報の流出確認サイト「 ‘;–have i been pwned? 」では、メールアドレス や パスワード が過去に侵害されたか確認することができる。
メールアドレスの確認では、過去のメールアドレスが流出したかを確認できる。
2007年に作成して以来、使用し続けているGmailのアドレスは過去に1度のインシデントがあり、どこぞのサーバのシステムが脆弱で、データが公開された模様。
ログイン IDで使用しているメールアドレスと パスワード が、いずれも過去に侵害を受けている場合、「 ブルートフォースアタック 」で突破される リスク が非常に高く、アカウントの乗っ取りに対して無防備に近い。
パスワード の変更
パスワード の変更に関しては、2017年6月のNIST(米国国立標準技術研究所)の「電子的認証に関するガイドライン」で「 パスワード の定期的な変更は必要ない」という従来の指針と真逆の内容に変更され、これに追随する形で日本の総務省も「 パスワード の定期的な変更は不要」という指針を示している。
ただ、これは定期的な パスワード 変更をユーザーに強制することにより「単純で覚えやすい パスワード の使用」「 パスワード の使い回し」「 パスワード のパターン化」が危惧されたためで、 パスワード の変更そのものに リスク があるわけではない。
「 単純で覚えやすい パスワード 」は過去に侵害されている可能性が高く、「 パスワード の使い回し 」は一度侵害されると芋づる式にアカウントが乗っ取られる可能性があり、「 パスワード のパターン化」もランダムな パスワード と比較して侵害される可能性が高くなる。
セキュリティ 強化のために定期的な パスワード 変更を強制することで、却って パスワード が脆弱化するという本末転倒な状況に陥りやすいため、苦肉の策として「 パスワード の定期的な変更は不要」という指針になったのだが、過去に侵害を受けている パスワード を使い続けて良いというわけではなく、「定期的な 漏洩 確認」と侵害されていた場合の パスワード 変更は必須だったりする。
ブラウザでの パスワード 管理
Google Chrome や Firefox は ログイン 情報の保存機能があり、デフォルトで自動保存が有効になっているため、対象のウェブサイトを開くとオートフィルで ログイン ID と パスワード が入力されて非常に便利なのだが、この保存されたアカウント情報はブラウザを開くことさえできれば簡単に取得できる。
Chrome は「設定」の「自動入力」にある「 パスワード 」。
Firefox は 「オプション」の「プライバシーと セキュリティ 」にある「 ログイン と パスワード 」から「保存されている ログイン 情報」。
Edge にも パスワード の保管機能やオートフィルの機能はあるが、Chrome や Firefox と異なり、 パスワード の表示はコントロールパネルの「資格情報の 管理 」で保護されているため、保存されている パスワード を表示させるにはWindows への ログイン パスワード が必要になる。
Edge 以外のブラウザを使用する場合、ブラウザに保存されている パスワード は容易にアクセスできるため、ブラウザに使用している ログイン 情報が侵害されてしまうと、保存している全てのアカウント情報が 危険 に晒される リスク があるので、 セキュリティ を重視する場合、 ログイン 情報の自動保存の使用は推奨されない。
パスワード の 管理
パスワード の使い回しはタブーのため、必然的に 管理 する パスワード は否応なく増加していく。
しかも覚えやすい意味のある文字列の使用も リスク が高く、近年は10桁以上でアルファベットの大文字小文字と数字・記号を含めるものも少なくないため、推奨される パスワード は「 o#CSH\Hmm,.73i^d}8of 」といった感じになり、復活の呪文よりも取り扱いが厄介な代物になる。
2000年前後には パスワード をパソコンに保存することはタブーとされ、紙に記載して保管することが推奨されていたのだが、ランダムで複雑な パスワード を多数 管理 するのは不向きであるのは明白で、 パスワード を書いた付箋をモニタに貼り付けるという本末転倒なことにもなりかねないため、現在は IPA(情報処理推進機構)でも「暗号化されたファイル」として保管することが推奨されている。
紙のノートやメモ帳などに保持していても良いのですが、リストが肥大化した際のメンテナンス性を考慮し、IDと パスワード を記載したリストを「 パスワード 付きの電子ファイル」として保持することを勧めます。
・表計算ソフトでIDと パスワード のリストを作成する。そのリストを、 パスワード 付きでファイル保存する。
・表計算ソフトでIDと パスワード のリストを作成し、ファイル保存する。
そのファイルを、 パスワード 付きで圧縮ファイル(zipなど)に変換する。
・「メモ帳」などでIDと パスワード のリストを作成し、テキストファイルとして保存する。そのファイルを、 パスワード 付きで圧縮ファイルに変換する。
パスワード マネージャー アプリ
ブラウザの自動保存を使用せず、保存した ログイン 情報を暗号化して保存しつつ、 ログイン 情報が必要なサイトではシームレスに ログイン 可能なのが パスワード マネージャーアプリ。
パスワード を一元 管理 するため、アプリの提供元の信頼性やデータの保存先など、さまざまな点で注意が必要だが、 パスワード マネージャーを使用すれば、ランダムで複雑な パスワード を簡単に 管理 でき、ウェブサイトへの ログイン もシームレスに行えるメリットがある。
LastPassのブラウザ拡張に パスワード 漏えいの脆弱性
実績のある パスワード 管理 アプリも万全ではないが、ブラウザの自動保存や 危険 な パスワード の使用、 パスワード の使い回しをしていることに比べれば、セキュリティリスクは随分と改善されるはず。
関連記事
KeePass Password Safe のインストールと使い方
豊富なプラグインが提供されているオープンソースの無料パスワード管理アプリ KeePass Password Safe はオープンソースで開発されている無料のパスワード管理アプリで、公開されている豊富なプラグインを導入する […]
Avast Free AntiVirus のインストールと使い方
パスワードマネージャー機能も実装した 人気の無料セキュリティソフト Avast Free AntiVirus は、チェコ共和国のセキュリティベンダー「 AVAST 」が開発しているセキュリティソフトで、無料版でも「 リア […]
Enpass Password Manager のインストールと使い方
膨大なパスワードを安全に管理するために必須の 安全性の高い パスワード管理 ソフト Enpass Password Manager はインドのソフトウェアベンダー「Sinew Software Systems」が開発し […]