パスワードの管理

Password-icon

パスワードの管理方法 と 漏洩リスク

ログインID と パスワードを使用した認証方法では アカウント情報が流出すると 第三者からアクセスされる可能性が高くなり、悪用されると アカウントの乗っ取り や ドコモ口座 不正預金引き出し事件 のような 被害に見舞われる。

危険なパスワード

CyberGhost の記事 によると 最も侵害されたパスワードは 123456 で、2019年には 2,320万件 の侵害が発生しており、qwerty が 400万件、password は 360万件の侵害が発生してる。

・123456
・abc123
・password
・111111
・qwerty
・1qaz2wsx
・sunshine
・iloveyou
・admin

日本人がよく使用するパスワード

ExpressVPN の記事 では 日本人は 意味のある単語よりも キー配列を利用したパスワード を選ぶ傾向があると指摘されている。

・12345678
・password
・123456789
・159753qq
・asdf12345
・asdfghjk
・1qaz2wsx
・aa123456

多くの ログイン ID はメールアドレスなので、メールアドレスを入手して公表されている 危険 な パスワード を総当りすれば 確率的に何人かは突破でき、特定の人物を標的にした場合は 誕生日など個人に関連したキーワードの総当りで突破されているケースも多い。

漏洩パスワードの確認

セキュリティ 研究者 トロイ・ハント氏が運営する アカウント情報の流出確認サイト ‘;–have i been pwned? では、メールアドレス や パスワード が過去に侵害されたか確認することができる。

‘;–have i been pwned?

パスワードの管理と漏洩リスク - Password Manage-005

ホーム画面で メールアドレス や 携帯電話番号 を入力すると 過去に流出したかを確認できる。

パスワードの管理と漏洩リスク - Password Manage-004

Pwned Passwords で パスワードを入力して「 pwned? 」をクリックすると 漏洩状況が表示される。

ブラウザ/ パスワードマネージャーでの確認

Firefox/ Google Chrome/ Brave / Edge などの ウェブブラウザ や、RoboForm/ Enpass などのパスワードマネージャー は、侵害された可能性のあるパスワード と 脆弱なパスワードに対して 警告する機能を実装している。

Password-001

Chrome や Brave は 設定安全確認 、Edge は 設定パスワード、 Firefox は Lockwise のオプションで 設定でき、デフォルトで警告が有効になっている。

Password-002

RoboForm では 侵害されたパスワードには 感嘆符 が表示されるが、パスワードマネージャーには パスワード漏洩状況の 確認機能を実装しているものが多い。

パスワードの解析

パスワード解析には  辞書攻撃ブルートフォース ( 総当り ) 攻撃 などがあり、Passware Kit のように パスワードを回復する暗号解読アプリも販売されている。

passwarekit-icon

Passware Kit のインストールと使い方

パスワードで保護された Microsoft Office ファイル や ZIP ファイル などのパスワードを回復する暗号解読アプリ Passware Kit は 暗号解読 / 情報開示 を専門に扱う ソフトウェアベンダー […]

パスワードの管理と漏洩リスク - Password Manage 002

ダークウェブ では ハッキングツールのほか ハッキングの請負も多く、取引が正常に行われる保証はないが SNS の場合 ハッキングの相場は 4 万 ~ 5 万円。

パスワードの管理

パスワードの使い回しはタブーで、意味のある単語の使用もリスクが高く、近年はパスワードの条件に 10 桁以上で アルファベットの大文字小文字・数字・記号を含めるものも少なくないため、パスワードの管理は 煩雑になりやすい。

2000年前後には パスワード をパソコンに保存することはタブーとされ、紙に記載して保管することが推奨されていたが、ランダムで複雑なパスワードを多数管理 するのは不向きで、パスワードを書いた付箋をモニタに貼り付けるなど 本末転倒なことにもなりかねないため、現在  IPA ( 情報処理推進機構 ) でも 暗号化されたファイル として保管することが推奨されている。
IPA 2013年8月の呼びかけ

多くのサービスで異なる パスワード を設定していると、すべてのIDと パスワード を暗記することは困難で、何らかの形でリストとして保持することが現実的な解となります。
紙のノートやメモ帳などに保持していても良いのですが、リストが肥大化した際のメンテナンス性を考慮し、IDと パスワード を記載したリストを「 パスワード 付きの電子ファイル」として保持することを勧めます。
・表計算ソフトでIDと パスワード のリストを作成する。そのリストを、 パスワード 付きでファイル保存する。
・表計算ソフトでIDと パスワード のリストを作成し、ファイル保存する。
そのファイルを、 パスワード 付きで圧縮ファイル(zipなど)に変換する。
・「メモ帳」などでIDと パスワード のリストを作成し、テキストファイルとして保存する。そのファイルを、 パスワード 付きで圧縮ファイルに変換する。

定期的なパスワードの変更

パスワードの 定期的な変更に関しては、2017年 6月の NIST ( 米国国立標準技術研究所 ) の 電子的認証に関するガイドラインパスワード の定期的な変更は必要ない という従来の指針と真逆の内容に変更され、日本の総務省も パスワード の定期的な変更は不要 という指針を示している。

この方針転換は 定期的なパスワード変更をユーザーに強制することにより 単純で覚えやすいパスワードの使用・パスワードの使い回し・パスワードのパターン化などパスワードが脆弱化する本末転倒な状況が危惧されたためで、パスワードの変更にリスクがあるわけではない

単純で覚えやすい パスワード は過去に侵害されている可能性が高く、パスワード の使い回し は一度侵害されると芋づる式にアカウントが乗っ取られる可能性があり、 パスワード のパターン化もランダムな パスワード と比較して侵害される可能性が高くなる。

二要素認証

ログインID と パスワード による認証では 複雑なパスワードを作成しても サーバなどからのアカウント情報流出に対しては 効果がないため、本人確認として 二要素認証 の導入 や 生体認証を使用ケースが増加している。

Password-003

セキュリティ強化のため Apple や Yahoo など 二要素認証 をデフォルトにしているサービスも増えている。

PIN と パスワード

ID と パスワードは ログインするサイトがサーバに情報を保持しており、ユーザーが入力した ログイン情報 と サーバの情報を照合するため ログイン情報が送信されるのに対して、PIN ( 暗証番号 ) は  ハードウェアに保存され 情報が送信されないので パスワードよりも侵害されるリスクが少ない。

ブラウザ でのパスワード 管理

Google Chrome や Firefox などの ウェブブラウザは ログイン 情報の保存機能があり、デフォルトで自動保存が有効になっている。

ウェブサイトを開くと オートフィルで ログイン ID と パスワード が入力されて便利なのだが、ブラウザへのログイン情報が侵害されてしまうと、保存している全てのアカウント情報が 危険 に晒されるリスクがある。

パスワードの管理 - Password Manage 006

Chrome は 設定自動入力 にある パスワード

パスワードの管理 - Password Manage 007

Firefox は  オプションプライバシーと セキュリティ にある ログイン と パスワード から 保存されている ログイン 情報

パスワードの管理 - Password Manage 008

Edge にも パスワード の保管機能 や オートフィルの機能は あるが、資格情報の管理 で保護されているため、保存されている パスワード を表示させるには Windows への ログイン パスワード が必要になる。

パスワード マネージャー

パスワード マネージャー は ログイン情報を 暗号化して サーバ や ローカルディスクに 保存し、ブラウザの拡張機能をインストールすることで ログインが必要なサイトで シームレスに ログインできる。

Enpass-icon-1

Enpass Password Manager のインストールと使い方

膨大なパスワードを安全に管理するために必須の 安全性の高い パスワード管理 ソフト Enpass Password Manager  はインドのソフトウェアベンダー Sinew Software Systems が開発し […]

NordPass-icon

NordPass for Windows のインストールと使い方

制限なしで基本機能を無料で利用できるパスワード管理アプリ NordPass は リトアニアの セキュリティプロバイダー NordSecurity が開発している パスワードマネージャーで、XChaCha20 暗号化アルゴ […]

password-boss-logo

Password Boss のインストールと使い方

セキュリティに重点を置いた 高機能な パスワード管理アプリ Password Boss は 米国のソフトウェアベンダー CyberFOX が MSP ( マネージド・サービス・プロバイダ ) 向けに開発した パスワード管 […]

pCloudPass-icon

pCloud Pass for Windows のインストールと使い方

ゼロナレッジでデータが暗号化される セキュアなパスワードマネージャー pCloud Pass は スイスに拠点のある オンラインストレージプロバイダ pCloud AG が開発しているパスワードマネージャーで、ゼロナレッ […]

roboform-icon

RoboForm for Windows のインストールと使い方

セキュア で ユーザビリティの高い 高機能パスワード管理アプリ RoboForm は 米国のソフトウェアベンダー Siber Systems が開発している 安全性・使いやすさ・価格 のバランスがとれたパスワードマネージ […]

実績のある パスワード管理 アプリ LastPass でパスワード 漏洩の脆弱性 が発見されたように、パスワードマネージャーも 万全ではないが、ブラウザの自動保存 よりは セキュリティリスクは低減される。

関連記事

email-spam-icon

フィッシングとスパムメール

スパムメール の定義 と フィッシングメールの実例 スパムメール ( 迷惑メール ) は  受信者リストを使用して 一方的 に 大量送信される 迷惑メール で、米国 ホーメル・フーズが販売している ランチョンミート SP […]

copyright-icon

著作権法とリッピングやキャプチャの違法性

DVD/BD の コピー・リッピング や 動画ダウンロード などの違法性 日本の著作権法では 第 30条で 著作物の私的使用での複製 を認めているが、同時に 技術的保護手段の回避 を禁じている ため、アプリを使用して D […]

Darknet-icon

Tor でアクセスする 闇サイト

匿名化ブラウザ Tor でアクセスする無法地帯 ウェブサイトには Google などの 検索エンジンに表示される サーフェスウェブ ( 表層ウェブ ) と 検索エンジンに 表示されない ディープウェブ ( 深層ウェブ ) […]

Software-icon

フリーソフトを使用する前に

フリーソフト を使用する前に知っておきたい基礎知識 スマートフォンが普及して モバイルアプリで 広告 や 個人情報の収集による収益化が図れるようになったため、Windows で動作する現行のフリーソフトは オープンソース […]

OTT-Download-icon

動画ストリーミングサービスの動画を保存する方法

Amazonプライムビデオ や Netflix のコンテンツを動画ファイルに保存する方法 Amazonプライムビデオ や Netflix などの動画ストリーミングサイトを利用してると、後で観るつもりだったタイトルが 消え […]