スポンサーリンク

パスワードの管理

スポンサーリンク

パスワードの管理方法 と 漏洩 リスク

ログインID と パスワードを使用した認証方法では アカウント情報が流出すると 第三者からアクセスされる可能性が高くなり、悪用されると アカウントの乗っ取り や ドコモ口座 不正預金引き出し事件 のような 被害に見舞われる。

危険なパスワード

直接 アカウント情報が漏洩していなくても 利用頻度の高い パスワードは すでに漏洩しているため 簡単に 突破されてしまう。

Top 50 Worst Passwords of 2019

・123456
・abc123
・password
・111111
・qwerty
・1qaz2wsx

・sunshine
・iloveyou
・admin

多くの ログイン ID はメールアドレスなので メールアドレスを入手して公表されている「 危険 な パスワード 」を総当りすれば 確率的に何人かは突破でき、特定の人物を標的にした場合 誕生日など個人に関連したキーワードの総当りで突破されているケースも多い。

漏洩パスワードの確認

セキュリティ 研究者 トロイ・ハント氏が運営する アカウント情報の流出確認サイト「 ‘;–have i been pwned? 」では メールアドレス や パスワード が過去に侵害されたか確認することができる。

‘;–have i been pwned?

パスワードの管理と漏洩リスク - Password Manage-005

ホーム画面で メールアドレス や 携帯電話番号 を入力すると 過去に流出したかを確認できる。

パスワードの管理と漏洩リスク - Password Manage-004

Pwned Passwords で パスワードを入力して「 pwned? 」をクリックすると 漏洩状況が表示される。

ブラウザ / パスワードマネージャーでの確認

Firefox / Google Chrome / Brave / Edge などの ウェブブラウザ や RoboForm / Enpass などのパスワードマネージャー には 侵害された可能性のあるパスワード や 脆弱なパスワードに対して 警告する機能を実装している。

Password-001

Chrome や Brave は「 設定 」の「 安全確認 」, Edge は「 設定 」の「 パスワード 」, Firefox は「 Lockwise 」のオプションで デフォルトで警告が有効になっている。

Password-002

RoboForm では 侵害されたパスワードには 感嘆符 が表示されるが、パスワードマネージャーには パスワード漏洩状況の 確認機能を実装しているものが多い。

パスワードの解析

パスワード解析には 「 辞書攻撃 」や「 ブルートフォース ( 総当り ) 攻撃 」などがあり、Passware Kit のように パスワードを回復する暗号解読アプリも販売されている。

passwarekit-icon

Passware Kit のインストールと使い方

パスワードで保護された Microsoft Office ファイル や ZIP ファイル などのパスワードを回復する暗号解読アプリ Passware Kit は 暗号解読 / 情報開示 を専門に扱う ソフトウェアベンダー […]

パスワードの管理と漏洩リスク - Password Manage 002

ダークウェブ では ハッキングツールのほか ハッキングの請負も多く、SNS の場合 ハッキングの相場は 4 万 ~ 5 万円で、取引が正常に行われる保証はないが ハッキングのスキルがなくても 依頼すればアカウントの乗っ取りは可能。

パスワードの管理

パスワードの使い回しはタブーで 意味のある単語の使用もリスクが高く、近年はパスワードの条件に 10 桁以上で アルファベットの大文字小文字・数字・記号を含めるものも少なくないため、パスワードの管理は 煩雑になりやすい。

2000年前後には パスワード をパソコンに保存することはタブーとされ、紙に記載して保管することが推奨されていたが、ランダムで複雑なパスワードを多数管理 するのは不向きで、パスワードを書いた付箋をモニタに貼り付けるなど 本末転倒なことにもなりかねないため、現在  IPA ( 情報処理推進機構 ) でも「 暗号化されたファイル 」として保管することが推奨されている。
IPA 2013年8月の呼びかけ

多くのサービスで異なる パスワード を設定していると、すべてのIDと パスワード を暗記することは困難で、何らかの形でリストとして保持することが現実的な解となります。
紙のノートやメモ帳などに保持していても良いのですが、リストが肥大化した際のメンテナンス性を考慮し、IDと パスワード を記載したリストを「 パスワード 付きの電子ファイル」として保持することを勧めます。
・表計算ソフトでIDと パスワード のリストを作成する。そのリストを、 パスワード 付きでファイル保存する。
・表計算ソフトでIDと パスワード のリストを作成し、ファイル保存する。
そのファイルを、 パスワード 付きで圧縮ファイル(zipなど)に変換する。
・「メモ帳」などでIDと パスワード のリストを作成し、テキストファイルとして保存する。そのファイルを、 パスワード 付きで圧縮ファイルに変換する。

定期的なパスワードの変更

パスワードの 定期的な変更に関しては 2017年 6月の NIST ( 米国国立標準技術研究所 ) の「 電子的認証に関するガイドライン 」で「 パスワード の定期的な変更は必要ない 」という従来の指針と真逆の内容に変更され、日本の総務省も「 パスワード の定期的な変更は不要 」という指針を示している。

この方針転換は 定期的なパスワード変更をユーザーに強制することにより「 単純で覚えやすいパスワードの使用 」「 パスワードの使い回し 」「 パスワードのパターン化 」など パスワードが脆弱化する本末転倒な状況が危惧されたためで、パスワードの変更にリスクがあるわけではない。
「 単純で覚えやすい パスワード 」は過去に侵害されている可能性が高く「 パスワード の使い回し 」は一度侵害されると芋づる式にアカウントが乗っ取られる可能性があり「 パスワード のパターン化」もランダムな パスワード と比較して侵害される可能性が高くなる。

二要素認証

ログインID と パスワード による認証では 複雑なパスワードを作成しても サーバなどからのアカウント情報流出に対しては 効果がないため、本人確認として 二要素認証 の導入 や ID・パスワードの代わりに生体認証を使用ケースが増加している。

Password-003

セキュリティ強化のため Apple や Yahoo など 二要素認証 をデフォルトにしているサービスも増えている。

PIN と パスワード
ID と パスワードは ログインするサイトがサーバに情報を保持しており、ユーザーが入力した ログイン情報 と サーバの情報を照合するため ログイン情報が送信されるのに対して、PIN ( 暗証番号 ) は  ハードウェアに保存され 情報が送信されないので パスワードよりも侵害されるリスクが少ない。

ブラウザ でのパスワード 管理

Google Chrome や Firefox などの ウェブブラウザは ログイン 情報の保存機能があり、デフォルトで自動保存が有効になっている。

ウェブサイトを開くと オートフィルで ログイン ID と パスワード が入力されて便利なのだが、ブラウザへのログイン情報が侵害されてしまうと、保存している全てのアカウント情報が 危険 に晒されるリスクがあるので ログイン情報の自動保存は 推奨されない。

パスワードの管理 - Password Manage 006

Chrome は「 設定 」の「 自動入力 」にある「 パスワード 」。

パスワードの管理 - Password Manage 007

Firefox は 「 オプション 」の「 プライバシーと セキュリティ 」にある「 ログイン と パスワード 」から「 保存されている ログイン 情報 」。

パスワードの管理 - Password Manage 008

Edge にも パスワード の保管機能 や オートフィルの機能は あるが「 資格情報の管理 」で保護されているため、保存されている パスワード を表示させるには Windows への ログイン パスワード が必要になる。

パスワード マネージャー

パスワード マネージャー は ブラウザの自動保存を使用せず パスワードを 一元管理するアプリで、ログイン情報は 暗号化されて サーバ や ローカルディスクに 保存され、ブラウザの拡張機能をインストールすることで ログインが必要なサイトで シームレスに ログインできる。

keepass-icon

KeePass Password Safe のインストールと使い方

豊富なプラグインが提供されているオープンソースの無料パスワード管理アプリ KeePass Password Safe はオープンソースで開発されている無料のパスワード管理アプリで、データベースは高度な暗号化アルゴリズム […]

roboform-icon

RoboForm のインストールと使い方

セキュア で ユーザビリティの高い 高機能パスワード管理アプリ RoboForm は 米国のソフトウェアベンダー Siber Systems が開発している 安全性・使いやすさ・価格 のバランスがとれたパスワードマネージ […]

Enpass-icon

Enpass Password Manager のインストールと使い方

膨大なパスワードを安全に管理するために必須の 安全性の高い パスワード管理 ソフト Enpass Password Manager  はインドのソフトウェアベンダー「 Sinew Software Systems 」が開 […]

password-boss-logo

Password Boss のインストールと使い方

セキュリティに重点を置いた 高機能な パスワード管理アプリ Password Boss は 米国のソフトウェアベンダー「 Password Boss 」が MSP ( マネージド・サービス・プロバイダ ) 向けに開発した […]

実績のある パスワード管理 アプリ LastPass でパスワード 漏洩の脆弱性 が発見されたように、パスワードマネージャーも 万全ではないが、ブラウザの自動保存 よりは セキュリティリスクは低減される。

 

関連記事

paypal-icon

ペイパルの導入と使い方

1998年に創業したフィンテックの先駆け PayPal は米国発祥のオンライン決済代行サービス で サポート体制もしっかりしており 電話をすると流暢な日本語を話す海外のオペレーターが対応してくれる。 ビジネス アカウント […]

dvdfab-icon

DVDFab Sale Info 最新セール情報 と 購入方法

DVDFab の セール 情報 と 購入手順 ・ ライセンス 登録方法を紹介 DVDFab は中国の Fengtao Software が開発しているコピーガードの解除が可能なリッピングのトータルソリューションアプリで、 […]

Leawo-co-icon

Leawo 製品の購入 と ライセンスコードの登録方法

 Leawo の セール 情報 と 購入手順・ライセンス 登録方法を紹介 Leawo は 中国深センに拠点があるソフトウェアベンダー Moyea Software が開発している マルチメディアツールのブランドで、中国国 […]

dvdfab-icon

DVDFab の ライセンス認証解除と再認証の手順

パソコンの引越し時に必要な DVDFab の ライセンス 認証解除 と 再認証 の手順 DVDFab は 製品をアクティベートすると パソコンのハードウェア情報に紐付けられて ユーザー情報 として保存されるため、DVDF […]

Infect-icon

フィッシング と スパムメール

スパムメール の定義 と フィッシングメールの実例 スパムメール ( 迷惑メール ) は  受信者リストを使用して 一方的 に 大量送信される 迷惑メール で、米国 ホーメル・フーズが販売している ランチョンミート SP […]

スポンサーリンク
スポンサーリンク
レポート
Easy Innovation Zone
タイトルとURLをコピーしました