パスワードの管理方法 と 漏洩 リスク
ログインID と パスワードを使用した認証方法では アカウント情報が流出すると 第三者からアクセスされる可能性が高くなり、悪用されると アカウントの乗っ取り や ドコモ口座 不正預金引き出し事件 のような 被害に見舞われる。
危険なパスワード
直接 アカウント情報が漏洩していなくても 利用頻度の高い パスワードは すでに漏洩しているため 簡単に 突破されてしまう。
Top 50 Worst Passwords of 2019
・123456
・abc123
・password
・111111
・qwerty
・1qaz2wsx
・sunshine
・iloveyou
・admin
多くの ログイン ID はメールアドレスなので メールアドレスを入手して公表されている「 危険 な パスワード 」を総当りすれば 確率的に何人かは突破でき、特定の人物を標的にした場合 誕生日など個人に関連したキーワードの総当りで突破されているケースも多い。
漏洩パスワードの確認
セキュリティ 研究者 トロイ・ハント氏が運営する アカウント情報の流出確認サイト「 ‘;–have i been pwned? 」では メールアドレス や パスワード が過去に侵害されたか確認することができる。
ホーム画面で メールアドレス や 携帯電話番号 を入力すると 過去に流出したかを確認できる。
Pwned Passwords で パスワードを入力して「 pwned? 」をクリックすると 漏洩状況が表示される。
ブラウザ / パスワードマネージャーでの確認
Firefox / Google Chrome / Brave / Edge などの ウェブブラウザ や RoboForm / Enpass などのパスワードマネージャー には 侵害された可能性のあるパスワード や 脆弱なパスワードに対して 警告する機能を実装している。
Chrome や Brave は「 設定 」の「 安全確認 」, Edge は「 設定 」の「 パスワード 」, Firefox は「 Lockwise 」のオプションで デフォルトで警告が有効になっている。
RoboForm では 侵害されたパスワードには 感嘆符 が表示されるが、パスワードマネージャーには パスワード漏洩状況の 確認機能を実装しているものが多い。
パスワードの解析
パスワード解析には 「 辞書攻撃 」や「 ブルートフォース ( 総当り ) 攻撃 」などがあり、Passware Kit のように パスワードを回復する暗号解読アプリも販売されている。
Passware Kit のインストールと使い方
パスワードで保護された Microsoft Office ファイル や ZIP ファイル などのパスワードを回復する暗号解読アプリ Passware Kit は 暗号解読 / 情報開示 を専門に扱う ソフトウェアベンダー […]
ダークウェブ では ハッキングツールのほか ハッキングの請負も多く、SNS の場合 ハッキングの相場は 4 万 ~ 5 万円で、取引が正常に行われる保証はないが ハッキングのスキルがなくても 依頼すればアカウントの乗っ取りは可能。
パスワードの管理
パスワードの使い回しはタブーで 意味のある単語の使用もリスクが高く、近年はパスワードの条件に 10 桁以上で アルファベットの大文字小文字・数字・記号を含めるものも少なくないため、パスワードの管理は 煩雑になりやすい。
IPA 2013年8月の呼びかけ
多くのサービスで異なる パスワード を設定していると、すべてのIDと パスワード を暗記することは困難で、何らかの形でリストとして保持することが現実的な解となります。
紙のノートやメモ帳などに保持していても良いのですが、リストが肥大化した際のメンテナンス性を考慮し、IDと パスワード を記載したリストを「 パスワード 付きの電子ファイル」として保持することを勧めます。
・表計算ソフトでIDと パスワード のリストを作成する。そのリストを、 パスワード 付きでファイル保存する。
・表計算ソフトでIDと パスワード のリストを作成し、ファイル保存する。
そのファイルを、 パスワード 付きで圧縮ファイル(zipなど)に変換する。
・「メモ帳」などでIDと パスワード のリストを作成し、テキストファイルとして保存する。そのファイルを、 パスワード 付きで圧縮ファイルに変換する。
定期的なパスワードの変更
パスワードの 定期的な変更に関しては 2017年 6月の NIST ( 米国国立標準技術研究所 ) の「 電子的認証に関するガイドライン 」で「 パスワード の定期的な変更は必要ない 」という従来の指針と真逆の内容に変更され、日本の総務省も「 パスワード の定期的な変更は不要 」という指針を示している。
二要素認証
ログインID と パスワード による認証では 複雑なパスワードを作成しても サーバなどからのアカウント情報流出に対しては 効果がないため、本人確認として 二要素認証 の導入 や ID・パスワードの代わりに生体認証を使用ケースが増加している。
セキュリティ強化のため Apple や Yahoo など 二要素認証 をデフォルトにしているサービスも増えている。
PIN と パスワード
ブラウザ でのパスワード 管理
Google Chrome や Firefox などの ウェブブラウザは ログイン 情報の保存機能があり、デフォルトで自動保存が有効になっている。
Chrome は「 設定 」の「 自動入力 」にある「 パスワード 」。
Firefox は 「 オプション 」の「 プライバシーと セキュリティ 」にある「 ログイン と パスワード 」から「 保存されている ログイン 情報 」。
Edge にも パスワード の保管機能 や オートフィルの機能は あるが「 資格情報の管理 」で保護されているため、保存されている パスワード を表示させるには Windows への ログイン パスワード が必要になる。
パスワード マネージャー
パスワード マネージャー は ブラウザの自動保存を使用せず パスワードを 一元管理するアプリで、ログイン情報は 暗号化されて サーバ や ローカルディスクに 保存され、ブラウザの拡張機能をインストールすることで ログインが必要なサイトで シームレスに ログインできる。
KeePass Password Safe のインストールと使い方
豊富なプラグインが提供されているオープンソースの無料パスワード管理アプリ KeePass Password Safe はオープンソースで開発されている無料のパスワード管理アプリで、データベースは高度な暗号化アルゴリズム […]
RoboForm のインストールと使い方
セキュア で ユーザビリティの高い 高機能パスワード管理アプリ RoboForm は 米国のソフトウェアベンダー Siber Systems が開発している 安全性・使いやすさ・価格 のバランスがとれたパスワードマネージ […]
Enpass Password Manager のインストールと使い方
膨大なパスワードを安全に管理するために必須の 安全性の高い パスワード管理 ソフト Enpass Password Manager はインドのソフトウェアベンダー「 Sinew Software Systems 」が開 […]
Password Boss のインストールと使い方
セキュリティに重点を置いた 高機能な パスワード管理アプリ Password Boss は 米国のソフトウェアベンダー「 Password Boss 」が MSP ( マネージド・サービス・プロバイダ ) 向けに開発した […]
実績のある パスワード管理 アプリ LastPass でパスワード 漏洩の脆弱性 が発見されたように、パスワードマネージャーも 万全ではないが、ブラウザの自動保存 よりは セキュリティリスクは低減される。
関連記事
ペイパルの導入と使い方
1998年に創業したフィンテックの先駆け PayPal は米国発祥のオンライン決済代行サービス で サポート体制もしっかりしており 電話をすると流暢な日本語を話す海外のオペレーターが対応してくれる。 ビジネス アカウント […]
DVDFab Sale Info 最新セール情報 と 購入方法
DVDFab の セール 情報 と 購入手順 ・ ライセンス 登録方法を紹介 DVDFab は中国の Fengtao Software が開発しているコピーガードの解除が可能なリッピングのトータルソリューションアプリで、 […]
Leawo 製品の購入 と ライセンスコードの登録方法
Leawo の セール 情報 と 購入手順・ライセンス 登録方法を紹介 Leawo は 中国深センに拠点があるソフトウェアベンダー Moyea Software が開発している マルチメディアツールのブランドで、中国国 […]
DVDFab の ライセンス認証解除と再認証の手順
パソコンの引越し時に必要な DVDFab の ライセンス 認証解除 と 再認証 の手順 DVDFab は 製品をアクティベートすると パソコンのハードウェア情報に紐付けられて ユーザー情報 として保存されるため、DVDF […]
フィッシング と スパムメール
スパムメール の定義 と フィッシングメールの実例 スパムメール ( 迷惑メール ) は 受信者リストを使用して 一方的 に 大量送信される 迷惑メール で、米国 ホーメル・フーズが販売している ランチョンミート SP […]
