“クラウド”を活用してしごとを行う場合、いつでもどこでも同じ環境で仕事ができてとても便利なものですが、パスワードを破られ、成りすましやアカウントの乗っ取りに遭うのではないかという不安がつきまといます。
インターネット上でのサービスにおいて、アカウントが乗っ取られたり、成りすましなどの被害について、報道でも取り上げられますが、事あるごとに、「パスワードは複雑なものに、サービスごとにパスワードを変える」事が呼びかけられています。
対応策としては、「ワンタイム・パスワード」、「二段階認証」、「ハードウェア・キー」などによりセキュリティをより強固なものとする方法がありますし、今後は生体認証がメインとなっていくことになるものと思われますが、これらについては論を改めるとして、現状での対策として、簡単には破られないパスワードにするにはどうしたらいいのか?ということについて考えてみたいと思います。
パスワードが破られる背景
IDとパスワードによって本人を特定する方式は、コンピュータを複数のユーザで共有しはじめて以来40年以上前から変わらない方式です。
現在では、パソコン、スマートフォン、タブレットが一般に普及する中で、破られやすいパスワードを用いるユーザが増えることで、悪意のある者が操作するハッキングツールにとっては、不正ログインの成功の確立が高まってしまっています。
ネット上には「パスワードリスト攻撃」用のツールが存在しており簡単に入手できます。(もちろん、これにより他者のサーバ、PCを攻撃する行為は犯罪となります。)同時にパスワードとして持ちいられる「辞書」ファイルも出回っています。
悪意を持った者は、これらのツールで「パスワード辞書」を読み込んで、自動的にIDとパスワードを連続入力してログインを試みます。
ここでログインに成功すると、他の不正アクセスにも悪用され、クレジットカード情報などを入手されると、直接的な金銭的被害にも及んでしまう事にもなりかねません。
このような「パスワードリスト攻撃」による被害が生まれる背景としては、「同じパスワードを様々なインターネットサービスで使い回す利用者が多い」点が大きな要因となっています。
Google, Twitter, Facebook, OneDrive, Office365, Dropbox, iCloud, Evernote, Pocket、そしてAmazon, 楽天などのオンライン・ショッピング、オンライン・バンクなど、数多くのサービスをインターネット上で利用するにあたって、実際に、どのようなパスワードにして、どのようにサービスごとにパスワードを変えればいいのかはとても面倒な問題です。
忘れることなく、なおかつ破られにくいパスワードについて考えてみる
米国における調査結果なのではありますが、2012年に最も脆弱で破られやすいパスワードは、「password」、2017年は「123456」だったそうで、毎年ワースト上位のリストに入っているものとして「iloveyou」、「letmein」などがあり、上述のツールを用いれば、簡単にアカウントを乗っ取られてしまいます。
悪意を持つ者が使う「パスワードを破ろうとするツール」が類推できないようにすることが、一つの鍵となるわけです。
基本としては、大文字、小文字、数字、特殊文字を組み合わせること。
文字として使えるのは英文字となりますが、敢えて日本語をローマ字で綴るのも一つの方法です。
パスワードリスト攻撃は海外からのものが多く、英単語を用いないことも一つの防御策となるわけです。
例えば、仕事や私生活上での、その時々の目標をパスワードとして設定する方法です。
Ato2OKUnouriage~rieki1K¥ (あと2億売上、利益1,000万円)
ShinkiAnken/5kenKakutoku!! (新規案件5件獲得)
KongetsuChuuni-2KGyaseru! (今月中に4kg痩せる)
2GatsuMadeni>300kmHashiru!!! (2月までに300km走る!!!)
このように、現状の目標をパスワードとして設定することで、記憶も容易で、攻撃ツールにとっては予測が難しく、推奨されている大文字、小文字、数字、特殊文字を含んだ「複雑なパスワード」となることでしょう。
米国のセキュリティ会社であるGibson Research社が公開しているパスワードの強度を診断するツールで診断してみます。
https://www.grc.com/haystack.htm
上記の「ShinkiAnken/5kenKakutoku!! 」というパスワードにしてみた場合、「ブルートフォース」というパスワードを破る試みの攻撃を受けた場合、毎秒100兆回というとてつもない実行速度の計算機を用いても、このパスワードを破るためには「80.45×100万×1兆×1兆世紀」という途方もない日数を要する結果となります。
これだけでもかなり強固なパスワードとすることができるわけです。
サイト毎にパスワードを変えるには
一つの例としては、基本パスワードに、「サービス名」と一定の数字を加える方法です。
「ShinkiAnken/5kenKakutoku!! 」に、Googleであれば「GGL」、そして配偶者や恋人の年齢や生まれ年などの数字を加える方法です。
「ShinkiAnken/5kenKakutoku!! GGL;28」
「ShinkiAnken/5kenKakutoku!! AMZN;28」(例:アマゾンの場合)
可能な限り、独自のIDを設定
インターネットサービス、特に金融機関系、オンラインショッピングの多くが、独自のIDを作成することができるようになっています。
前述の通り、インターネットサービスの多くがIDとパスワードの組み合わせでログインできるようになっていますが、重要なサービスにおいてはIDも独自のものにすることでセキュリティ・レベルは向上します。
パスワードを忘れないようにメモをしておくには?
上記のようなパスワードの設定、ルール決めを行うことで、パスワードを忘れないようにしながら複雑なものとすることができるわけですが、万一うまくログインできない時のために、どのように備えればいいでしょうか?
よく手帳にIDとパスワードを記帳している方、さらには付箋をモニター周りに貼っている方がいますが、それは危険極まりない事です。
ネットの記事に書かれていることが多い、MS Exelなどにパスワード一覧を作成しパソコン内に保存しておき、そのファイル自体にパスワードをかけておく、という方法が実用的なのではないかと思います。
Googleアカウント パスワードマネージャ& Chromeならばさらに管理がラクに
Googleアカウントには「パスワード マネージャ」機能があります。これをGoogle Chromeと連動して使うと管理がとてもラクになり、サイトごとにIDとパスワードを覚えておいてくれます。
アクセスするたびにIDとパスワードの入力を省略することができてとても便利です。
下記の記事も併せてご覧ください。
[blogcard url=”https://cloud-work.jp/productivity/google-apps/googlepasswordmanager/”]