パスワードの管理方法 と 漏洩リスク
ログインID と パスワードを使用した認証方法では アカウント情報が流出すると 第三者からアクセスされる可能性が高くなり、悪用されると アカウントの乗っ取り や ドコモ口座 不正預金引き出し事件 のような 被害に見舞われる。
危険なパスワード
CyberGhost の記事 によると、最も侵害されたパスワードは 123456 で 2019年には 2,320万件 の侵害が発生しており、qwerty が 400万件、password は 360万件の侵害が発生してる。
・123456
・abc123
・password
・111111
・qwerty
・1qaz2wsx
・sunshine
・iloveyou
・admin
日本人がよく使用するパスワード
ExpressVPN の記事 では、日本人は 意味のある単語よりも キー配列を利用したパスワード を選ぶ傾向があると指摘されている。
・12345678
・password
・123456789
・159753qq
・asdf12345
・asdfghjk
・1qaz2wsx
・aa123456
多くの ログイン ID はメールアドレスなので、メールアドレスを入手して公表されている 危険 な パスワード を総当りすれば 確率的に何人かは突破でき、特定の人物を標的にした場合は 誕生日など個人に関連したキーワードの総当りで突破されているケースも多い。
漏洩パスワードの確認
セキュリティ 研究者 トロイ・ハント氏が運営する アカウント情報の流出確認サイト ‘;–have i been pwned? では、メールアドレス や パスワード が過去に侵害されたか確認することができる。
ホーム画面で メールアドレス や 携帯電話番号 を入力すると 過去に流出したかを確認できる。
Pwned Passwords で パスワードを入力して「 pwned? 」をクリックすると 漏洩状況が表示される。
ブラウザ / パスワードマネージャーでの確認
Firefox / Google Chrome / Brave / Edge などの ウェブブラウザ や、RoboForm / Enpass などのパスワードマネージャー は、侵害された可能性のあるパスワード と 脆弱なパスワードに対して 警告する機能を実装している。
Chrome や Brave は 設定 の 安全確認 、Edge は 設定 の パスワード、 Firefox は Lockwise のオプションで 設定でき、デフォルトで警告が有効になっている。
RoboForm では 侵害されたパスワードには 感嘆符 が表示されるが、パスワードマネージャーには パスワード漏洩状況の 確認機能を実装しているものが多い。
パスワードの解析
パスワード解析には 辞書攻撃 や ブルートフォース ( 総当り ) 攻撃 などがあり、Passware Kit のように パスワードを回復する暗号解読アプリも販売されている。

Passware Kit のインストールと使い方
パスワードで保護された Microsoft Office ファイル や ZIP ファイル などのパスワードを回復する暗号解読アプリ Passware Kit は 暗号解読 / 情報開示 を専門に扱う ソフトウェアベンダー […]
ダークウェブ では ハッキングツールのほか ハッキングの請負も多く、取引が正常に行われる保証はないが SNS の場合 ハッキングの相場は 4 万 ~ 5 万円。
パスワードの管理
パスワードの使い回しはタブーで、意味のある単語の使用もリスクが高く、近年はパスワードの条件に 10 桁以上で アルファベットの大文字小文字・数字・記号を含めるものも少なくないため、パスワードの管理は 煩雑になりやすい。
IPA 2013年8月の呼びかけ
多くのサービスで異なる パスワード を設定していると、すべてのIDと パスワード を暗記することは困難で、何らかの形でリストとして保持することが現実的な解となります。
紙のノートやメモ帳などに保持していても良いのですが、リストが肥大化した際のメンテナンス性を考慮し、IDと パスワード を記載したリストを「 パスワード 付きの電子ファイル」として保持することを勧めます。
・表計算ソフトでIDと パスワード のリストを作成する。そのリストを、 パスワード 付きでファイル保存する。
・表計算ソフトでIDと パスワード のリストを作成し、ファイル保存する。
そのファイルを、 パスワード 付きで圧縮ファイル(zipなど)に変換する。
・「メモ帳」などでIDと パスワード のリストを作成し、テキストファイルとして保存する。そのファイルを、 パスワード 付きで圧縮ファイルに変換する。
定期的なパスワードの変更
パスワードの 定期的な変更に関しては、2017年 6月の NIST ( 米国国立標準技術研究所 ) の 電子的認証に関するガイドライン で パスワード の定期的な変更は必要ない という従来の指針と真逆の内容に変更され、日本の総務省も パスワード の定期的な変更は不要 という指針を示している。
二要素認証
ログインID と パスワード による認証では 複雑なパスワードを作成しても サーバなどからのアカウント情報流出に対しては 効果がないため、本人確認として 二要素認証 の導入 や 生体認証を使用ケースが増加している。
セキュリティ強化のため Apple や Yahoo など 二要素認証 をデフォルトにしているサービスも増えている。
PIN と パスワード
ブラウザ でのパスワード 管理
Google Chrome や Firefox などの ウェブブラウザは ログイン 情報の保存機能があり、デフォルトで自動保存が有効になっている。
Chrome は 設定 の 自動入力 にある パスワード 。
Firefox は オプション の プライバシーと セキュリティ にある ログイン と パスワード から 保存されている ログイン 情報 。
Edge にも パスワード の保管機能 や オートフィルの機能は あるが、資格情報の管理 で保護されているため、保存されている パスワード を表示させるには Windows への ログイン パスワード が必要になる。
パスワード マネージャー
パスワード マネージャー は ログイン情報を 暗号化されて サーバ や ローカルディスクに 保存し、ブラウザの拡張機能をインストールすることで ログインが必要なサイトで シームレスに ログインできる。

Enpass Password Manager のインストールと使い方
膨大なパスワードを安全に管理するために必須の 安全性の高い パスワード管理 ソフト Enpass Password Manager はインドのソフトウェアベンダー Sinew Software Systems が開発し […]

KeePass Password Safe のインストールと使い方
豊富なプラグインが提供されているオープンソースの無料パスワード管理アプリ KeePass Password Safe はオープンソースで開発されている無料のパスワード管理アプリで、データベースは高度な暗号化アルゴリズム […]

RoboForm のインストールと使い方
セキュア で ユーザビリティの高い 高機能パスワード管理アプリ RoboForm は 米国のソフトウェアベンダー Siber Systems が開発している 安全性・使いやすさ・価格 のバランスがとれたパスワードマネージ […]

Password Boss のインストールと使い方
セキュリティに重点を置いた 高機能な パスワード管理アプリ Password Boss は 米国のソフトウェアベンダー「 Password Boss 」が MSP ( マネージド・サービス・プロバイダ ) 向けに開発した […]
実績のある パスワード管理 アプリ LastPass でパスワード 漏洩の脆弱性 が発見されたように、パスワードマネージャーも 万全ではないが、ブラウザの自動保存 よりは セキュリティリスクは低減される。
関連記事

DVDFab Sale Info 最新セール情報 と 購入方法
DVDFab の セール 情報 と 購入手順 ・ ライセンス 登録方法を紹介 DVDFab は中国の DVDFab Software ( 旧 Fengtao Software ) が開発しているコピーガードの解除が可能 […]

IObit アプリの使用リスクについて
IObit が批判される理由とアプリの危険性 IObit は システムユーティリティと セキュリティソフト を開発している 中国のソフトウェアベンダーで、悪評が多い一方 IObit Uninstaller など 高評価を […]

Leawo 製品の購入 と ライセンスコードの登録方法
Leawo の セール 情報 と 購入手順・ライセンス 登録方法を紹介 Leawo は 中国深センに拠点があるソフトウェアベンダー Moyea Software が開発している マルチメディアツールのブランドで、中国国 […]

Google の 個人情報収集 と 脱Google の手引き
個人情報を収集する Google サービス からの脱却 と 代替えサービス DeGoogle 活動 は Google をネットライフから排除する ことを掲げた 草の根運動 で、Google からの脱却と プライバシー保 […]

Googleアカウントの 取得と設定
Google の各種サービス利用に必要な アカウントの作成 と セキュリティ設定 Googleアカウント は Googleが提供している Gmail・YouTube・Chromeブラウザ・Google Drive・カレン […]