以前報道されていたように「リスト型攻撃」によって、LINE、Ameba、はてな、ニコニコ動画、mixiなどで不正ログインが多発しているとのこと。原因の一つはいわゆる「使い回しパスワード」。では、それを回避しつつ覚える必要もない安全なパスワードの作り方とは?絶対避けたいパスワードなども紹介しますよ。
パスワードの「使い回し」はとても危険!
「リスト型攻撃」の標的に
今サイバー攻撃が世界中で起き、医療機関や企業の営業不能が起きています。Windows の脆弱部分を突いてハッキングし、暗号化したデータで数百ドル単位の小金をゆすりとるハッカーたち。
ハッキング問題に個人として対処しておきたいところですが、そのためにはWindowsの更新だけでなく、常に安全なパスワードを使い続けることも大切です。
それは、ネット界隈で大問題になりNHKでも報道された「リスト型攻撃」に備えるためです。では「リスト型攻撃」とは一体どんなタイプの攻撃なのでしょうか?
その攻撃手順は次の通りです。
ハッカーたちは、会員サービス(大抵いかがわしいサイト)に不正に侵入し、会員のIDとパスワードリストを入手。
その流出したIDとパスワードを利用して他のサービスへの不正ログインを試みること、これが「リスト型アカウントハッキング」通称『リスト型攻撃』と呼ばれるものです。実に恐ろしい。
なぜ「リスト型攻撃」によって不正ログインが成功しているのでしょうか?それはIDとパスワードの「使い回し」が原因です。
確かにIDはメールアドレスが多く、「使い回し」になっても仕方ない部分はあるのですが、パスワードも「使い回し」なら簡単に不正ログインできちゃいますね
パスワードをたくさん覚えるのは面倒
どのサービスでも同じメールアドレスと同じパスワードを利用する人は後を絶ちません。私もそうでした。
でもYahoo!サービスをはじめ、楽天、ネットバンキング、メルカリ、LINE、Facebook、Twitter、「はてな」、Ameba、も別々にパスワードを設定し覚えないといけないのは大変ですから、ついつい同じパスワードになってしまうものです。
私 @Ama119 も以前はパスワードをすべて「自宅の電話番号+イニシャル」にしていたのです。恐ろしや。
使い回しも、覚える必要もないパスワードの作り方
「基本型」と2つのルールでOK
でも「使い回し」をせずに、確実に思い出せ、しかも安全性が高いパスワードをいくつも利用するという芸当はんて我々凡人にできるのでしょうか?
NHKニュースではセキュリティー専門家がおススメする安全なパスワードの作り方が紹介されていました。以下の通りです。
以下の通りに、まず「基本型」を作り、2つ以上のルールで変更するというもの。
この基本型を以下の2つのルールに則って変更します。(もっと安全性が高いのは自分の名前ではなく、自分と関係なく馴染みのある言葉や名前のほうがベターです。例えば武田信玄が好きなら、[自分の名前]の部分に takeda を利用します。)
ルール2.特定の箇所に特殊記号などを入れる
※ 以下はLINEを例にしていますが、LINEでパスワードが必要になるのは以下の時です。
- いつ機種変更してLINEアカウントを引き継げるようにする。
- パソコンからLINEへログインする時。
- LINEアプリを再インストールした後にログインする時。
例えば、田中さんがLINEにログインする場合、
基本型は「LINE+田中」つまり[ line-tanaka ]となりますが、それを以下のようにルールをつくり変更してあげます。
- line-t@naka(名前の一部を変更)
- $line-t@naka\(特殊記号を前後に入れる。「前/後」に「ドル/円」は覚えやすいよ。)
これをYahoo!で応用する場合、基本型は「yahoo+田中」つまり[ yahoo-tanaka ]
- yahoo-t@naka
- $yahoo-t@naka\
別の例としてGmail(Googleアカウント)なら、基本型「gmail+健二」つまり[ gmail-kenji ]となり、2つのルールによって以下のように変更させます。
- gmail-k^nji(「^」は特殊文字、「e」⇒「へ」⇒「^」と連想したもの。 )
- #gmail-k^nji@
(「#」と「@」は、機動戦士ガンダムの「シャー」と「アムロ」から連想させたもの。)
なお、ログインサービスによっては、「!#$%&\*」などの特殊記号が利用できず、英数字だけのところもあります。その場合でも変更するルールをしっかり覚えておけば、忘れることもありません。
メモは忘れずに
これだけで、パスワードを使い回す必要もなく、サービスごとに異なったパスワードで使えますし、パスワードを一つ一つ覚える必要もないのです。これっていいじゃないですか!
でもルールを徹底しても、やっぱり人は忘れる者です。
ですから、パスワードをメモしておくことは必須です。
パスワード管理ツールの利用
一番おすすめアプリ/ソフト
でもそれでも「覚えるのは無理!無理!絶対無理!」とおっしゃる方はどんな方法があるでしょうか?
それはパソコンやスマホで利用できるパスワード管理ソフト/アプリでしょう。沢山のIDやパスワードを管理できるだけでなく、複雑で強力なパスワードを自動生成する機能も搭載されています。自動ログインも様々な認証方法(マスターキー、顔認証、指紋認証)があり、安全で快適です。
おすすめはあの悪名高き?「True Key」でしょう。
一時は迷惑ソフト扱いされていたパソコンソフトですが、今では多くのユーザーを獲得し、大手のITブログでも優良ツールとして取り上げられております。
なんといっても「True Key」は「インテル入ってる!」でおなじみのIntel謹製クラウドツールなんですよね。
「True Key」で16個以上のログイン情報を管理したいなら、有料版(年額2500円)が必要です。でもセキュリティーソフトのマカフィー利用者なら「True Key」の有料版を無料で使い続けられるということで、試しに使てみたら、パソコンやiPhone/iPadであまりに快適にログインできるので、最近「True Key」に乗り換えました。詳細は、iPhoneのパスワード管理アプリを迷惑「True Key」へ変更!意外に快適だった をご覧ください。
その他のアプリ
その他のパスワード管理アプリは以下の通り。
無料版なら
有料版なら1Passwordが定番。Mac、Windowsパソコンでも同期可能です。
私が最近まで利用していたのは RoboForm 。登録アカウント数は無制限の有料版PC版を購入すれば、スマホアプリの利用は無料です。(詳しくは PC版 、iPhone版 、からどうぞ。)
RoboForm には Android版アプリもあり万能です。
他にも有名どころとして Lastpass があります。私も RoboForm を利用する前は利用していました。
避けるべきパスワード
パスワードの使いまわしはもちろんのこと、ハッカーに推測されやすいパスワードを避けることも基本中の基本です。
※ とはいっても、破られないパスワードはこの世に存在しません。ネットで利用されているパスワードに利用できる文字は数字、アルファベット、特殊記号しかなく、プログラムによる総当たり攻撃(ブルートフォースアタック)でいつかは破られますから。(この攻撃でも破られないように各サービスは様々なセキュリティー対策、画像認証/2段階認証 等を施している。わがブログのログイン画面でも対策実施中。)
しかしできるだけ安全性を高めるために、以下のパスワードは絶対やめておきましょう。
だれでも思いつくパスワード
- 123456
- 123456789
- 111111
- password
- 7777777
・・・・
笑い声が聞こえ来そうですが、時代を通じて常に一番使われているのがこの「だれでも思い付くパスワード群」です。つまり数字の順番/アルファベット順、キーボードの配列順また規則的な繰り返しなどです。
毎年セキュリティー関連のニュースで話題になります。そうです、毎年話題になっているのに、”自分は大丈夫だろう”と考えているいるのでしょう、多くの人はこれは使い続けています。( 最もよく使われたパスワードは16年も「123456」:日本経済新聞 )
辞書にある言葉
- tanuki1234
- apple1234
- ringo9876
・・・・
好きな食べ物や地名など、身近な言葉と数字の組み合わせは「覚えられるけど、推測されにくい、大丈夫だ」と思われがちですが、ハッカーたちのアタックに優先的に利用されるパスワードだそうです。またしばしばみられるスペルミスもご法度だそうです。apleなど。
私も以前この手のパスワードをよく利用していました。
個人情報を含める
これもありがちですね。
一番思い当たるのは自分や家族の生年月日と名前です。
11月23日生まれの花子さんのパスワード・・・hanako1123
多くの方が今でもこの手のパスワードを使っています。私の身近では、うちの嫁さんです。この手のパスワードを今でも使っています...涙。
他にも
- 電話番号
- 住所
- 結婚記念日
実家の電話番号(多くの人にとって人生で最初に覚えた番号)もやめたほうがいいですよ。
短いパスワード
「短いのなら覚えられそう!」
私は経験上、短くても覚えられませんが・・・!
でも大抵の方の発想は「長いパスワードより短いパスワードのほうが速く入力できるし、間違いにくいでしょう!」というもの。
でも、1文字増えるだけで、何通りの組み合わせが増えるかを考えれば、パスワードの桁数が多いに越したことはないことが容易に理解できますね。つまりパスワードの強度を高める一番手っ取り早い方法が文字数を増やすことです。
たとえば、英数字(10+26文字)を利用した7桁と8桁は
- 7桁・・・78364164096
- 8桁・・・2821109907456
通りあり、格段に推測しにくくなります。
ちなみに8桁の英数字でなるパスワードで破るためには、今のコンピュータで346年かかるそうです。この年数は時代と共に変化しますけど。
あなたのパスワードの強度を知る方法
さて以上のように、絶対避けたいパスワードではなく、安全で覚えやすいパスワードを作るわけですが、自分の作ったパスワードがどれほど強力かを確かめたいと思いませんか?
実は簡単に知らべる方法があります。それはセキュリティー関連サービスを扱っているWebサイトが運営しているページを利用することです。
※ この類のサービスの利用を気持ち悪いと感じるなら、パスワードの一部を変えたり、ブラウザをシークレットモード(プライベートモード)にして利用することをお勧めします。
一番有名どころは、マイクロソフトでしょう。
パスワード チェッカー: 強力なパスワードの使用 | Microsoft セーフティとセキュリティ センター
ちなみに上記でつくったパスワード【$yahoo-t@naka\】(14文字)の強度を上記のページで計ってみたところ、以下のような結果になりました。
他にも、インテルやカスペルスキーなどもパスワード強度チェックツールを提供しています。
以上、パスワード使い回しが問題に根源にある不正ログイン対策でした。しっかりルールを作ることが大切ですね。
コメント
マイクロソフトのパスワードに関するガイダンス
https://blogs.technet.microsoft.com/jpntsblog/2016/05/27/%E3%83%9E%E3%82%A4%E3%82%AF%E3%83%AD%E3%82%BD%E3%83%95%E3%83%88%E3%81%AE%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E3%82%AC%E3%82%A4%E3%83%80%E3%83%B3%E3%82%B9/
2. 文字の組み合わせ (複雑さ) に関する要件を廃止する
パスワードの複雑さ要件があることで、ユーザーは予測しやすいパスワードを設定する可能性が高まることが知られています。
ほとんどのシステムが、大文字や小文字の英字、数字や記号を組み合わせた複雑さの要件を定めていますが、多くの人が同じようなパターン (最初の文字は大文字、記号や数字は最後など) でパスワードを設定しています。攻撃者は、ユーザーのこのような傾向を把握して、パスワードの解読を試みます。