パスワードの使い回しがとても危険な理由

ASCII.jp / 2022年10月21日 9時0分

サービスごとに異なるパスワードにするべきだ

　「パスワードの使い回しはよくない」とは、ネットでよく言われることだ。では、なぜいけないのか、具体的に答えられるだろうか。

　悪意を持った人間が、不正に入手したIDとパスワードのリストを使って、不正アクセスを試みる「パスワードリスト攻撃」というサイバー攻撃がある。

　たとえば、企業から、顧客のデータが流出してしまったとしよう。その中には、サービスにログインするためのIDとパスワードも含まれている。そのデータを入手した人間は、他のサービスにも、そのIDとパスワードで不正アクセスを試みるわけだ。

　もし、他のサービスでも同じパスワードの使い回しをしていると、不正アクセスを許してしまう可能性がある。パスワードリスト攻撃は、正規のIDとパスワードを使ってログインしようとしているため、不正ログインを防ぐことが難しいのだ。パスワードの使い回しがとても危険な理由はここにある。

　逆に言えば、サービスごとに異なるパスワードを設定しておくことで、不正に情報が流出したり、万が一、パスワードが推測されたりといったケースでも、不正アクセスなどの可能性は下がるとされている。

　一方で、パスワードの流出が疑われたり、情報流出事件の報道を目にしても、使い回しをやめない人たちもいる。「自分は大丈夫」と思わずに、使い回しを避けるのはもちろんのこと、複雑なパスワードを設定するように心がけたい。

覚えるのが大変ならソフトを使う手もある

　パスワードは、「password」のような英単語、「123456」のような単純なものはよくないとされている。アルファベット、数字、記号などを混ぜ、長い文字数にするのがよい。

　たとえば、「password」という単語を使いたいとするなら、「p@ssw0rd」のように、アルファベットを記号や数字にするというような、自分だけのルールを用意して変換し、同じようなルールで変換した別の単語を付け加える、というやり方もある。

　もっとも、それらを覚えておくのが大変だ……という声もあるだろう。直接、オンラインのパスワード管理とは関係ないが、マイナンバーカードにともなう健康保険証の廃止予定のニュースに関連して、「パスワードなど、いちいち覚えていない」などのコメントをSNSで見かけることもあった。

　そこで、紙などに書き、肌身離さず持ち歩くという手もある。この方法で気をつけたいのは、「パスワードそのものは書かない」ということだ。あくまで、自分にしかわからない、パスワードを思い出せる情報を書いておくこと。

　また、自動生成で複雑なパスワードを作成する、パスワード管理ソフトを利用するのもよい。クラウド経由でデータを共有できるソフトなら、パソコンからでもスマホからでもパスワードが同期されて利用可能。「パスワードの管理は面倒だ」と思っている人こそ、利用してほしい。

　あわせて、ログインの際に、パスワードだけでなく電話番号（SMS）などによる認証も必要になる「2段階認証」（ログイン認証）などもセキュリティとして有効なので、設定しておきたい。

　一方、パスワードが流出するような事件に遭遇したら、どうするべきか。

　もちろん、パスワードの変更は必須となる。くどいようだが、新しいパスワードは複雑で、以前のパスワードとは無関係のものにしなくてはならない。メールアカウントに関連するセキュリティーの質問がある場合は、あわせて変更したい。

　同じパスワードを使用している他サービスのアカウントも、パスワードを必ず変更しておこう。また、ウイルスやマルウェアがないか、セキュリティソフトでコンピューターをスキャンするのも忘れないことだ。

　今回は、McAfee Blogの「安全なパスワードを作成するための5つのヒント」を紹介しよう。（せきゅラボ）

※以下はMcAfee Blogからの転載となります。

安全なパスワードを作成するための5つのヒント：McAfee Blog

顔認証や指紋認証のような生体認証ツールは、データやデバイスを保護する方法として一般的に浸透しはじめていますが、依然として強力なパスワードは私達のデジタルライフを守る安全対策の中でも必要不可欠な存在です。

私達の多くは、アカウントやパスワードをたくさん持っていることで時に忘れてしまい、苛立ってしまうことがあります。そのため、短くて使い慣れたパスワードに設定したり、多くのアカウントで同じパスワードを繰り返したり使用するなど、ついつい危険なパスワードの使い方をしてしまいがちです。しかし、パスワードの安全性を確保することは、実はそれほど難しいことではありません。ここでは、安全なパスワードを作成するための重要なヒントをご紹介します。

シンプルであることは安全ではない

例年の調査で最も一般的に使用されているパスワードは、”1234567 “や “password “といったシンプルなものであることがわかっています。これは、サイバー犯罪者にとってはおいしい情報ですが、私達の個人情報や金融情報の安全性という面において、とても悪い知らせといえるでしょう。

強力なパスワードを作るためには、いかに長くて複雑かどうかが重要です。こうすることでサイバー犯罪者が推測することが難しくなり、アルゴリズムを使用した上で組み合わせを素早く処理しようとする場合でも、解読することが難しくなります。だが驚くべきことに、「ブルートフォースアタック」というアルゴリズムを使うと、長さ７文字のパスワードがわずか1/3秒足らずで解読できてしまうのです。

ヒント

　・パスワードは少なくとも12文字以上で、数字、記号、大文字、小文字を含むものにしましょう。　・ゼロを”O “に、@を”A “のようにするなど、数字や記号を文字に置き換えてみましょう。　・もし、IPカメラや対話型スピーカーなど、インターネットに接続されたデバイスを使用している場合は、初期設定を独自のものに変更しましょう。これはハッカーたちはメーカーの初期設定のパスワードを知っていることが多いためです。

個人を特定できないようにする

名前や住所、ペットの名前など、個人情報の断片が含まれているパスワードは、簡単に推測されやすいです。オンラインでたくさんの個人情報を共有している場合はなおさらです。しかし、個人的な好みを利用すれば、個人情報から推測できない強力なパスフレーズを作成することができます。

ヒント

　・パスワードを数字や記号をランダムに使ったものにしてみるのも良いでしょう。例えば、もし犯罪小説が好きな場合は、「ILoveBooksOnCrime」というフレーズにしてみたとします。そして、1L0VEBook$oNcRIM3! といった具合に、いくつかの文字を数字や記号に置き換えたり、一部を全角にすることによって、さらに強固なパスワードが出来上がるでしょう。　・もし、セキュリティ対策用の質問を設定する際に、個人情報を使用する必要がある場合は、オンライン上で簡単に見つけられないような答えにしましょう。　・すべてのパスワードとパスフレーズを非公開にしましょう。

パスワードは再利用しない

もし、パスワードを再利用してしまって、見知らぬ何者かにあるアカウントのパスワードを推測されてしまった場合、そのパスワードを使って他のアカウントにも侵入されてしまう可能性があります。ここ数年、このような手口での企業のデータ漏洩事件が数多く起きており、だんだん危険度が高まっています。たった一度のハッキングによって、サイバー犯罪者達は何千ものパスワードを手に入れて、それを使って多数のアカウントにアクセスしようとすることができてしまうのです。

ヒント

　・たとえ個人情報がほとんどわからないアカウントであっても、それぞれのアカウントに独自のパスワードを設定しましょう。もし、より機密性が高いアカウントで同じパスワードを使用している場合、それらのアカウントも危険にさらされてしまいかねません。　・もし、ウェブサイトや監視サービスから個人情報が流出した可能性があると警告された場合は、速やかにパスワードを変更しましょう。

パスワードマネージャーを利用する

複雑なパスワードを作成し管理することが苦手な方は、パスワードマネージャーに作業を委託しましょう！アカウントマネージャーは、アカウントごとにランダムで複雑なパスワードを作成し、安全に保存できるソフトウェアプログラムです。これを利用することで、パスワードを覚えておく必要はなくなり、必要な際にはパスワードマネージャーを使用すれば、ログインすることができます。

ヒント

　・パスワードマネージャーを含んでいるセキュリティソフトを探す　・顔認証、指紋認証、パスワードのような複数の情報を使用して本人確認をする多要素認証を導入しているパスワードマネージャーを利用しましょう。

全体的なセキュリティを強化する

パスワードの安全性を確認したら、幅広く様々な危険から守ってくれる包括的なセキュリティソフトを導入しましょう。

ヒント

　・常にソフトウェアを最新の状態を保つように心がけてください。　・そして、間違ってフィッシングサイト内でパスワードを入力するのを防いでくれるウェブアドバイザーの利用を検討しましょう。

※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーなどを編集して紹介する記事です。