パスワードの管理

Password-icon
2019.09.29

パスワードの管理方法 と 漏洩リスク

ID と パスワードによる認証方法は 単純なパスワードの使用パスワードの使い回し による セキュリティリスクが指摘されているが、認証が必要なサービスが多く パスワードの管理が煩雑で、パスワードの失念による再設定に手間をかけたくないため 未だ 世界中で 脆弱なパスワードが使用 されている。

パスワードの問題点

パスワードは 12文字以上 で 大文字・小文字・数字・記号 を含んだ複雑な 文字列が推奨されるが、パスワードの使い回しもタブーなため 認証が必要なサービスすべてに 個別の複雑なパスワード設定が必要になり、設定したパスワードの保管にもセキュリティ対策が必要になるほか、不正アクセスなどによる情報漏洩のリスクがある。

多段階認証・多要素認証

パスワードのリスクを回避する手段として ログイン時に本人認証を行う 多段階認証 や スマートフォンなどを使用してパスコードを発行する 多要素認証が導入されているが、セキュリティ向上の反面 ログインまでのプロセスが増えることで別のストレスになっている。

PIN と パスワード

ID と パスワードは ログインするサイトがサーバに情報を保持しており、ユーザーが入力した ログイン情報 と サーバの情報を照合するため ログイン情報が送信されるのに対して、PIN ( 暗証番号 ) は  ハードウェアに保存され 情報が送信されないので パスワードよりも侵害されるリスクが少ない。

危険なパスワード

CyberGhost の記事 によると 最も侵害されたパスワードは 123456 で、2019年には 2,320万件 の侵害が発生しており、qwerty が 400万件、password は 360万件の侵害が発生してる。

123456・abc123・password・111111・qwerty・1qaz2wsx・sunshine・iloveyou ・admin
日本人がよく使用するパスワード

ExpressVPN の記事 では 日本人は 意味のある単語よりも キー配列を利用したパスワード を選ぶ傾向があると指摘されている。

12345678・password・123456789・159753qq・asdf12345・asdfghjk・1qaz2wsx・aa123456

多くの ログイン ID はメールアドレスなので、メールアドレスを入手して公表されている 危険なパスワード を総当りすれば 確率的に何人かは突破でき、特定の人物を標的にした場合は 誕生日など個人に関連したキーワードの総当りで突破されているケースも多い。

パスワードの解析

パスワード解析には  辞書攻撃ブルートフォース ( 総当り ) 攻撃 などがあり、Passware Kit のように パスワードを回復する暗号解読アプリも販売されている。

passwarekit-icon

Passware Kit のインストールと使い方

パスワードで保護された Microsoft Office ファイル や ZIP ファイル などのパスワードを回復する暗号解読アプリ Passware Kit は 暗号解読 / 情報開示 を専門に扱う ソフトウェアベンダー […]

パスワードの管理と漏洩リスク - Password Manage 002

ダークウェブ では ハッキングツールのほか ハッキングの請負も多く、取引が正常に行われる保証はないが SNS の場合 ハッキングの相場は 4 万 ~ 5 万円。

安全性と利便性のジレンマ

パスワードの使い回しはタブーで 意味のある単語の使用もリスクが高く、近年はパスワードの条件に 10 桁以上で アルファベットの大文字小文字・数字・記号を含めるものも少なくないため、パスワードの管理は 煩雑になりやすく、パスワード認証のセキュリティにはデジタルストレスのジレンマがある。

2000年前後には パスワード をパソコンに保存することはタブーとされ、紙に記載して保管することが推奨されていたが、ランダムで複雑なパスワードを多数管理 するのは不向きで、パスワードを書いた付箋をモニタに貼り付けるなど 本末転倒なことにもなりかねない。

security-and-digital-stress-003

ExpressVPN が公開した【調査結果】パスワードの再設定にどれだけの時間を浪費している? のレポートでは 欧米のデータになるが 実に半数近くの人が 月に 1 回以上 パスワードをリセットしており、パスワードの管理も大きなデジタルストレスになっている。

Password-manage-008

IPA ( 情報処理推進機構 ) でも 暗号化されたファイル として保管することを推奨 しているが、具体例として掲載しているパスワードの管理方法 は 表計算ソフトを使用して ファイルをパスワード保護する非効率的なもので、パスワード保護されたエクセル や Zipファイルの安全性にも疑問があり、実務レベルで安全に効率よく運用できる管理方法を提示できていない。

 

定期的なパスワードの変更

パスワードの 定期的な変更に関しては 2017年 6月の NIST ( 米国国立標準技術研究所 ) の 電子的認証に関するガイドラインパスワード の定期的な変更は必要ない という従来の指針と真逆の内容に変更され、日本の総務省も パスワード の定期的な変更は不要 という指針を示している。

この方針転換は 定期的なパスワード変更をユーザーに強制することで 単純で覚えやすいパスワードの使用・パスワードの使い回し・パスワードのパターン化などパスワードが脆弱化する本末転倒な状況が危惧されたためで、パスワードの変更にリスクがあるわけではない

単純で覚えやすいパスワード は過去に侵害されている可能性が高く、パスワードの使い回し は一度侵害されると芋づる式にアカウントが乗っ取られる可能性があり、 パスワードのパターン化もランダムな パスワード と比較して侵害される可能性が高くなる。

パスワードの管理

一般的に最も多く利用されているのが ウェブブラウザの ログイン情報保存機能 で、ウェブサイトを開くと オートフィルで ログイン ID と パスワード が入力されて便利なのだが、デフォルト設定では ブラウザを起動できる状態であれば 保存されているログイン情報にアクセスできる。

Firefoxマスターパスワード を設定して 保存したパスワードの保護が可能。

パスワード マネージャー

パスワード マネージャー は ログイン情報を 暗号化して サーバ や ローカルディスクに 保存し、ブラウザの拡張機能をインストールすることで ログインが必要なサイトで シームレスに ログインできる。

KeePass-icon-1

KeePass for Windows のインストールと使い方

豊富なプラグインが提供されているオープンソースの無料パスワード管理アプリ KeePass Password Safe は Dominik Reichl 氏 が オープンソースで開発している パスワード管理アプリで、データ […]

Enpass-icon-1

Enpass Password Manager のインストールと使い方

膨大なパスワードを安全に管理するために必須の 安全性の高い パスワード管理 ソフト Enpass Password Manager  はインドのソフトウェアベンダー Sinew Software Systems が開発し […]

password-boss-logo

Password Boss のインストールと使い方

セキュリティに重点を置いた 高機能な パスワード管理アプリ Password Boss は 米国のソフトウェアベンダー CyberFOX が MSP ( マネージド・サービス・プロバイダ ) 向けに開発した パスワード管 […]

実績のある パスワード管理 アプリ LastPass でパスワード 漏洩の脆弱性 が発見されたように パスワードマネージャーも 万全ではないため IPA は使用を推奨していないが、セキュアでデジタルストレスのない環境でパスワードを管理できる。

漏洩パスワードの確認

セキュリティ 研究者 トロイ・ハント氏が運営する アカウント情報の流出確認サイト ‘;–have i been pwned? では メールアドレス や パスワード が過去に侵害されたか確認できるほか、VPN アプリ や セキュリティアプリ などでも 個人情報の漏洩監視 機能を実装しているものがリリースされている。

‘;–have i been pwned?

パスワードの管理と漏洩リスク - Password Manage-005

ホーム画面で メールアドレス や 携帯電話番号 を入力すると 過去に流出したかを確認できる。

Surshark-VPN-icon

Surfshark One for Windows のインストールと使い方

Surfshark VPN と マルウェア対策・ウェブ検索・データ漏洩の監視 がセットになった セキュリティアプリ Surfshark One は オランダの VPN プロバイダ Surfshark B.V が開発・運営 […]

nordvpn-icon

NordVPN for Windows のインストールと使い方

ノーログポリシーを採用し パフォーマンスに定評のある多機能 VPN サービス NordVPN は リトアニアの セキュリティプロバイダー NordSecurity が開発している VPN サービスで、トンネリングと暗号化 […]

ブラウザ/ パスワードマネージャーでの確認

Firefox/ Google Chrome/ Brave / Edge などの ウェブブラウザ や RoboForm/ Enpass などのパスワードマネージャー は、侵害された可能性のあるパスワード と 脆弱なパスワードに対して 警告する機能を実装している。

Password-001

Chrome や Brave は 設定安全確認 、Edge は 設定パスワード、 Firefox は Lockwise のオプションで 設定でき、デフォルトで警告が有効になっている。

Password-002

RoboForm では 侵害されたパスワードには 感嘆符 が表示されるが、パスワードマネージャーには パスワード漏洩状況の 確認機能を実装しているものが多い。

パスワードレスの認証方法

デジタル化が進んだ現在、インターネット黎明期から使用されてきた ID・パスワードによる 知識認証は 安全性 と 管理面で多くの問題に直面しており、FIDO Alliance などが パスワードレスのセキュアでユーザーフレンドリーな認証方法の開発に取り組んでいる。

FIDO認証

FIDO Alliance ( ファイドアライアンス ) が開発した認証方法で、従来のパスワード認証が ID・パスワードをサーバが保持して入力されたログイン情報と照合していたのに対し、FIDO認証は ログイン時にユーザーはデバイスで生体認証すると 暗号キーを使用した署名を作成してサーバに送信し、サーバは受信した署名を復号して照合するため、パスワード認証のようにユーザーとサーバで同じ情報を共有しておらず 情報漏洩のリスクが大幅に低減する。

Windows-Hello-045

Windows 10 (1903以降 )/ 11 が実装している生体認証 Windows HelloFIDO2 認定を取得しており、FIDO をサポートしている オンラインサービス や アプリで利用できる。

関連記事

Leawo-Software-icon

Leawo 製品の購入 と ライセンスコードの登録方法

 Leawo の セール 情報 と 購入手順・ライセンス 登録方法を紹介 Leawo は 中国深センに拠点があるソフトウェアベンダー Moyea Software が開発している マルチメディアツールのブランドで、中国国 […]

DVDFab-12-icon

DVDFab の ライセンス認証解除と再認証の手順

パソコンの引越し時に必要な DVDFab・StreamFab の ライセンス 認証解除 と 再認証 の手順 DVDFab は 製品をアクティベートすると パソコンのハードウェア情報に紐付けられて ユーザー情報 として保存 […]

2checkout-icon

2Checkout Payment の決済方法と定期購読の停止

グローバル決済サービス 2Checkout での決済とサブスクリプション ( 定期購読 ) の停止方法 2Checkout は 海外アプリの決済サービスで多く使用されている eコマース 全般のシステムを提供しているグルー […]

Mail-icon-1

ビジネスメールの基本とマナー

仕事でメールを使用する際に知っておくべき基本 と ビジネスメールのエチケット マナーは 社交上の礼儀 、エチケットは 人間関係を円滑にする慣習 を意味するので、日本の ビジネスマナーは 英語で ビジネスエチケット と表さ […]

mp3-icon

ロシアのサイトから MP3 を激安ダウンロード

ロシアの MP3 激安サイト Golden MP3 国内で販売されている MP3 は CD とほとんど同じ価格だが、海外と比較すると 国内の楽曲は異常なほど高く、購入した楽曲は DRM ( デジタル著作権管理 ) で保護 […]