パスワードの管理

Reports-icon

パスワードの管理方法 と 漏洩リスク

ログインID と パスワードを使用した認証方法では アカウント情報が流出すると 第三者からアクセスされる可能性が高くなり、悪用されると アカウントの乗っ取り や ドコモ口座 不正預金引き出し事件 のような 被害に見舞われる。

危険なパスワード

CyberGhost の記事 によると、最も侵害されたパスワードは 123456 で 2019年には 2,320万件 の侵害が発生しており、qwerty が 400万件、password は 360万件の侵害が発生してる。

・123456
・abc123
・password
・111111
・qwerty
・1qaz2wsx

・sunshine
・iloveyou
・admin

日本人がよく使用するパスワード

ExpressVPN の記事 では、日本人は 意味のある単語よりも キー配列を利用したパスワード を選ぶ傾向があると指摘されている。

・12345678
・password
・123456789
・159753qq
・asdf12345
・asdfghjk
・1qaz2wsx
・aa123456

多くの ログイン ID はメールアドレスなので、メールアドレスを入手して公表されている 危険 な パスワード を総当りすれば 確率的に何人かは突破でき、特定の人物を標的にした場合は 誕生日など個人に関連したキーワードの総当りで突破されているケースも多い。

漏洩パスワードの確認

セキュリティ 研究者 トロイ・ハント氏が運営する アカウント情報の流出確認サイト ‘;–have i been pwned? では、メールアドレス や パスワード が過去に侵害されたか確認することができる。

‘;–have i been pwned?

パスワードの管理と漏洩リスク - Password Manage-005

ホーム画面で メールアドレス や 携帯電話番号 を入力すると 過去に流出したかを確認できる。

パスワードの管理と漏洩リスク - Password Manage-004

Pwned Passwords で パスワードを入力して「 pwned? 」をクリックすると 漏洩状況が表示される。

ブラウザ / パスワードマネージャーでの確認

Firefox / Google Chrome / Brave / Edge などの ウェブブラウザ や、RoboForm / Enpass などのパスワードマネージャー は、侵害された可能性のあるパスワード と 脆弱なパスワードに対して 警告する機能を実装している。

Password-001

Chrome や Brave は 設定安全確認 、Edge は 設定パスワード、 Firefox は Lockwise のオプションで 設定でき、デフォルトで警告が有効になっている。

Password-002

RoboForm では 侵害されたパスワードには 感嘆符 が表示されるが、パスワードマネージャーには パスワード漏洩状況の 確認機能を実装しているものが多い。

パスワードの解析

パスワード解析には  辞書攻撃ブルートフォース ( 総当り ) 攻撃 などがあり、Passware Kit のように パスワードを回復する暗号解読アプリも販売されている。

passwarekit-icon

Passware Kit のインストールと使い方

パスワードで保護された Microsoft Office ファイル や ZIP ファイル などのパスワードを回復する暗号解読アプリ Passware Kit は 暗号解読 / 情報開示 を専門に扱う ソフトウェアベンダー […]

パスワードの管理と漏洩リスク - Password Manage 002

ダークウェブ では ハッキングツールのほか ハッキングの請負も多く、取引が正常に行われる保証はないが SNS の場合 ハッキングの相場は 4 万 ~ 5 万円。

パスワードの管理

パスワードの使い回しはタブーで、意味のある単語の使用もリスクが高く、近年はパスワードの条件に 10 桁以上で アルファベットの大文字小文字・数字・記号を含めるものも少なくないため、パスワードの管理は 煩雑になりやすい。

2000年前後には パスワード をパソコンに保存することはタブーとされ、紙に記載して保管することが推奨されていたが、ランダムで複雑なパスワードを多数管理 するのは不向きで、パスワードを書いた付箋をモニタに貼り付けるなど 本末転倒なことにもなりかねないため、現在  IPA ( 情報処理推進機構 ) でも 暗号化されたファイル として保管することが推奨されている。
IPA 2013年8月の呼びかけ

多くのサービスで異なる パスワード を設定していると、すべてのIDと パスワード を暗記することは困難で、何らかの形でリストとして保持することが現実的な解となります。
紙のノートやメモ帳などに保持していても良いのですが、リストが肥大化した際のメンテナンス性を考慮し、IDと パスワード を記載したリストを「 パスワード 付きの電子ファイル」として保持することを勧めます。
・表計算ソフトでIDと パスワード のリストを作成する。そのリストを、 パスワード 付きでファイル保存する。
・表計算ソフトでIDと パスワード のリストを作成し、ファイル保存する。
そのファイルを、 パスワード 付きで圧縮ファイル(zipなど)に変換する。
・「メモ帳」などでIDと パスワード のリストを作成し、テキストファイルとして保存する。そのファイルを、 パスワード 付きで圧縮ファイルに変換する。

定期的なパスワードの変更

パスワードの 定期的な変更に関しては、2017年 6月の NIST ( 米国国立標準技術研究所 ) の 電子的認証に関するガイドラインパスワード の定期的な変更は必要ない という従来の指針と真逆の内容に変更され、日本の総務省も パスワード の定期的な変更は不要 という指針を示している。

この方針転換は 定期的なパスワード変更をユーザーに強制することにより 単純で覚えやすいパスワードの使用・パスワードの使い回し・パスワードのパターン化などパスワードが脆弱化する本末転倒な状況が危惧されたためで、パスワードの変更にリスクがあるわけではない
単純で覚えやすい パスワード は過去に侵害されている可能性が高く、パスワード の使い回し は一度侵害されると芋づる式にアカウントが乗っ取られる可能性があり、 パスワード のパターン化もランダムな パスワード と比較して侵害される可能性が高くなる。

二要素認証

ログインID と パスワード による認証では 複雑なパスワードを作成しても サーバなどからのアカウント情報流出に対しては 効果がないため、本人確認として 二要素認証 の導入 や 生体認証を使用ケースが増加している。

Password-003

セキュリティ強化のため Apple や Yahoo など 二要素認証 をデフォルトにしているサービスも増えている。

PIN と パスワード
ID と パスワードは ログインするサイトがサーバに情報を保持しており、ユーザーが入力した ログイン情報 と サーバの情報を照合するため ログイン情報が送信されるのに対して、PIN ( 暗証番号 ) は  ハードウェアに保存され 情報が送信されないので パスワードよりも侵害されるリスクが少ない。

ブラウザ でのパスワード 管理

Google Chrome や Firefox などの ウェブブラウザは ログイン 情報の保存機能があり、デフォルトで自動保存が有効になっている。

ウェブサイトを開くと オートフィルで ログイン ID と パスワード が入力されて便利なのだが、ブラウザへのログイン情報が侵害されてしまうと、保存している全てのアカウント情報が 危険 に晒されるリスクがあるので ログイン情報の自動保存は 推奨されない。

パスワードの管理 - Password Manage 006

Chrome は 設定自動入力 にある パスワード

パスワードの管理 - Password Manage 007

Firefox は  オプションプライバシーと セキュリティ にある ログイン と パスワード から 保存されている ログイン 情報

パスワードの管理 - Password Manage 008

Edge にも パスワード の保管機能 や オートフィルの機能は あるが、資格情報の管理 で保護されているため、保存されている パスワード を表示させるには Windows への ログイン パスワード が必要になる。

パスワード マネージャー

パスワード マネージャー は ログイン情報を 暗号化されて サーバ や ローカルディスクに 保存し、ブラウザの拡張機能をインストールすることで ログインが必要なサイトで シームレスに ログインできる。

Enpass-icon

Enpass Password Manager のインストールと使い方

膨大なパスワードを安全に管理するために必須の 安全性の高い パスワード管理 ソフト Enpass Password Manager  はインドのソフトウェアベンダー Sinew Software Systems が開発し […]

keepass-icon

KeePass Password Safe のインストールと使い方

豊富なプラグインが提供されているオープンソースの無料パスワード管理アプリ KeePass Password Safe はオープンソースで開発されている無料のパスワード管理アプリで、データベースは高度な暗号化アルゴリズム […]

roboform-icon

RoboForm のインストールと使い方

セキュア で ユーザビリティの高い 高機能パスワード管理アプリ RoboForm は 米国のソフトウェアベンダー Siber Systems が開発している 安全性・使いやすさ・価格 のバランスがとれたパスワードマネージ […]

password-boss-logo

Password Boss のインストールと使い方

セキュリティに重点を置いた 高機能な パスワード管理アプリ Password Boss は 米国のソフトウェアベンダー「 Password Boss 」が MSP ( マネージド・サービス・プロバイダ ) 向けに開発した […]

実績のある パスワード管理 アプリ LastPass でパスワード 漏洩の脆弱性 が発見されたように、パスワードマネージャーも 万全ではないが、ブラウザの自動保存 よりは セキュリティリスクは低減される。

関連記事

dvdfab-icon

DVDFab Sale Info 最新セール情報 と 購入方法

DVDFab の セール 情報 と 購入手順 ・ ライセンス 登録方法を紹介 DVDFab は中国の DVDFab Software ( 旧 Fengtao Software )  が開発しているコピーガードの解除が可能 […]

iobit-software-icon

IObit アプリの使用リスクについて

IObit が批判される理由とアプリの危険性 IObit は システムユーティリティと セキュリティソフト を開発している 中国のソフトウェアベンダーで、悪評が多い一方 IObit Uninstaller など 高評価を […]

Leawo-co-icon

Leawo 製品の購入 と ライセンスコードの登録方法

 Leawo の セール 情報 と 購入手順・ライセンス 登録方法を紹介 Leawo は 中国深センに拠点があるソフトウェアベンダー Moyea Software が開発している マルチメディアツールのブランドで、中国国 […]

google-icon

Google の 個人情報収集 と 脱Google の手引き

個人情報を収集する Google サービス からの脱却 と 代替えサービス  DeGoogle 活動 は Google をネットライフから排除する ことを掲げた 草の根運動 で、Google からの脱却と プライバシー保 […]

google

Googleアカウントの 取得と設定

Google の各種サービス利用に必要な アカウントの作成 と セキュリティ設定 Googleアカウント は Googleが提供している Gmail・YouTube・Chromeブラウザ・Google Drive・カレン […]