かつての常識「鍵マークのサイトは安全」「パスワードは8桁以上」が今では非常識で危険な理由

ITやデジタルの進歩と変化はとても早く、数年前までよく言われていた「鍵のマークがついたサイトは安全」も「パスワードは8文字」も、今では間違っているだけでなく、とても危険です。
どうして危険なのか?そのリスクを避けるにはどうしたら良いか?やさしく解説します。

SSLは安全は今や非常識

今では危険!「8文字(8桁)で安全」などパスワードについて非常識とは?

8桁のパスワードはその気になると短時間で解読されてしまう

広まっている最も危険なデジタルの常識は「パスワードの文字数」です

今ではさすがに4文字はあり得ませんが、まだ「6文字以上で」「8文字以上で」と記載されているサイトやサービスがあまりに多いです。またセキュリティのサイトや参考書にも同様な記載が残っています。
しかしこれは完全に古い常識です。
パスワードを解読する様々な手法が編み出され、解読に使うパソコンの能力も飛躍的に高くなりました。5年前は何ヶ月もかかった解読作業が、パスワードによっては、一瞬や数分で解読できてしまうこともあります。

詳しくは当ブログの以下の記事をご参照ください。

関連記事

いろいろなところで目にする「パスワードは8文字(8桁)以上、時々変更しましょう」。これで本当に大丈夫なのか? 内外の最新研究を検証した衝撃の結果は「今では8文字パスワードは弱い!」しかし「強いパスワードを設定したら二度と変更の必要なし!」[…]

パスワードをあらゆる手段で盗み出すハッカーのイメージ

パスワードにいろいろな文字種は不要。長ければ長いほど良い

かつては「パスワードは8文字以上、英数字の大文字小文字を必ず使って下さい」と説明されていました。

しかし解読のスピードが速まった今、文字種を増やしても、文字数が少なければあまり関係ないことが実験で確かめられています。とにかく長くすることが大切です。最低でも12文字、できれば14~5文字以上のパスワードを強くお勧めします。こうしておけば当分の間は安心でしょう。

パスワードの定期的な変更は不要

また「パスワードは月に一回変更して下さい」という記載もしばしば目にしますが、これはかえって短いパスワード/安易なパスワード/使い回しのパスワードを生み出す弊害となっています。
今では「長く安全なパスワードを使えば変更はしなくて良い」が常識で、セキュリティ会社も、総務省のような公的機関も同様の見解を発表しています。

長いパスワードは作り方のコツさえ覚えれば簡単に作ることができる

長いパスワードは、一旦作り方を覚えてしまえば。簡単に作れます。また記憶や危険なメモに頼るのではなく「パスワードマネージャー(パスワード管理ツール)」を使うことが最終的には最も効果的なパスワード対策となります。

詳しくは当ブログの以下の記事をご参照ください。

関連記事

パスワードについては10年前の古い常識が今でも生き続けているようです。「8文字のパスワードはもはや危険」ですし、「覚えられないからパスワードを使い回す」というのはデジタルの世界では最悪の愚行です。 長くて安全なパスワードの必要性と「どうや[…]

長くて安全なパスワードを作るヒント

今では非常識で危険!「鍵のマークがついているサイトは安全」

SSLとか何か

 

皆さんはSSLと言う言葉をご存知でしょう。SSLに対応しているサイトを訪問すると、ブラウザーのURLの前に、右の写真のように「鍵マーク」が表示されます。
デジタルキーパーのSSL
デジタルキーパーのURL表示

インターネットの世界で情報をやりとりする際、サービス側のサイトと、スマホやPCでお使いのブラウザー間とのデータのやりとりを暗号化して、途中で盗み見る事をできなくする技術の規格です。
SSLに対応するためにはサイト側は「SSL証明書」を証明業者から購入してサイトに組み込む必要があります。

SSLに対応したサイトのアドレスバーのURLの冒頭は「http」ではなく「https」と「s」が付き、ブラウザで見ると、URLが表示されるバーの端に「鍵のマーク」が表示されたり、ブラウザーによっては「安全として緑色表示」されるため、容易に判別でき、すでに「鍵マーク=安全常識」は常識となりつつあります。

※(厳密に言うと現在ではTLSというSSLの上位の規格にバージョンアップされていますが、世間的にはSSLのいう通称として通っているのでこのまま使います)

SSLについて大きな誤解

ところがこのSSLや鍵マークの解釈に大きな間違いがまかり通り、「常識」がかえって犯罪被害を生んでしまっています。それは今でもよく見る、

「鍵マークがつくサイトは安全です」

「悪意あるWebサイトにひっかからないよう、URLバーに鍵マークがあるか確かめましょう」

の教えです。

このような記載は今でもあちこちで見られ、それなりに権威のあるセキュリティ情報のサイトや教本などにも堂々と記載されています。しかしこれは全く昔の古い考え方で、今や「完全な間違い/非常識」です!

そもそもSSLとは「ブラウザーとサイトの間のやりとりを暗号化する」という規格で、サイトの正当性を証明するものではありません。

SSLを導入することは以前は大変だったが、今は簡単にできる

ひと昔前までは、SSLを使うためには申請や審査も面倒で、高額なお金もかかり、「信頼性の高い企業が運営するサイトしかSSLを導入していなかった」時代がありました。
結果として、その時代はhttpsからURLがはじまる「鍵付きサイト」は確かに信頼できるサイトが多かったのでしょう。

今ではSSL付きが標準になって普及し、だれでも無料で取得できてしまう

ところが、セキュリティ意識の高まりにより、サイト側も次第にSSLを使うことが広まるようになりました。
2018年7月にはGoogleのChromeは「SSLに対応していないサイトは危険」と警告表示されるようになりました。これを契機にブラウザーの対応だけでなく、PCやスマホに入っているセキュリティソフトも「SSLに対応されていないサイトは危険」と表示されるようになってしまいました。

こうなると、SSLなしのサイトは誰も見てくれなくなり、SSLは必需品となりました。証明書を発行する業者も増え、コストも手間も大きく下がり、今ではほとんど無料で、だれでもすぐに取得できるようになってしまいました

SSLは確実に通信の暗号化を守りますが、取得者やサイトの信頼性とは全く無関係なのです

SSLは詐欺サイトも導入済みなのに、ユーザーの常識がついていけてない?

したがって詐欺サイトもしっかりSSLを導入し、「鍵マークが出ていることは当たり前」になりつつあります。

ところが、ユーザーが詐欺メールのURLをクリックして詐欺サイトに誘導されているにもかかわらず、
 「鍵マークがついているから安心だ!」
とデータを打ち込んでしまう方が後を絶ちません。
今ではフィッシング詐欺サイトの大半がSSL化されており、SSLは全く信頼性を見極める基準にはなりません。更新されない古い情報や常識の大きな弊害と言えます

さらにSSLに対応しているため増えるリスクもある

SSLは「ネットの通信で、サイトとブラウザー間とのデータのやりとりを暗号化して、途中で盗み見る事をできなくする技術」とご説明しました。暗号化されて中が見れなくなることは、実は危険にも繋がります

皆さんのPCなどにはウイルス対策ソフトがインストールされていることが多いと思いますが、悪意のサイトがウイルスやマルウェアを送り込んできた際にSSLに対応して送られてくると、皆さんウイルス対策ソフトは読み取って検査することができなくなってしまうのです。
つまり巧妙なマルウェアを仕込んだ悪意のサイトほどSSLを完備することになってしまいます。

SSLでなく正しいサイトを見分ける方法は?

ドメイン名を確かめる

最も確実な方法はSSLの有無ではなく、URLを観察して、正しいドメインなのか?を確認することです。
正しいドメイン名は、検索して本当の企業やサービスのサイトに行けばわかります。また金融や通信など、詐欺メールが多い業界では、正当なドメイン名の一覧ちゃんと公表されているはずです。

SSLの証明書の情報を確認する。

SSLから信頼できるサイトなのか判別する方法もあります。ただこれは専門的な知識と読み取る力が必要となりますので、どなたにもお勧めできる方法ではありません。
いずれご説明したいと思います。

まとめ:
「過去の常識は今の非常識」です。古い知識や情報は捨ててしまいましょう!

古い情報はリスクに直結してしまう

昔は正しいとされていたことが、時代を経ると誤った事に変わることは多々ありますが、進歩の著しいデジタルの世界ではほんの数年で常識ががらりと変わってしまいます
誤った常識は、古いだけでなく、むしろ危険に繋がります。残念ながら、いろいろなサイトや解説書にも古い常識がそのまま記載されていることもあります。

技術の進歩は光だけでなく、陰の部分にも影響を与えている

デジタル機器や技術はすさまじい勢いで進歩しています。特に数年前までは予想もできなかった「AI」技術がITのあらゆる分野に進出してきて、続々と新しい手法が生み出されています。これらの新しい技術や手法は、効率を上げて生活を便利にしてくれるものですが、犯罪者も同時に活用しています。
特に「闇のデジタルの世界」では、優れた能力を悪事に使うハッカーが多く、新技術はいち早く犯罪手段に活用され、対策が追いつかないほどです。

情報を参考にするときは「掲載日」や「更新日」を必ず確かめよう。

デジタルの安全やセキュリティに関わる情報を検索して探す際は、必ず「いつ記載された情報なのか」を確かめるようにしてください。
残念ながらWikipediaにも然るべき公的機関のサイトでも、平然と4.5年前の古い情報が記載されたままになっています。

とにかく3年以上前の情報は疑ってかかった方が安全です。

当社の「デジタル終活サポートサービス~Digital Keeper」を、ぜひお試し下さい!

当社代表の長年の構想を元に、2019年9月11日にスタートした「オンラインデジタル終活サービスDigital Keeper」は、わずか390円の会費で、どなたでもお手軽にデシタルキーピングやデジタル終活が実行できる、新しいコンセプトのオンラインサービスです。

Digital Keeperにご入会いただきますと、当ブログにあるような「デジタルの安全にタイムリーに役に立つ情報」「デジタルキーピングの方法」などをメールマガジンでお届けしながら、会員にまさかの事態が起きたときには、しっかりと会員のデジタル終活をサポートさせていただきます。

※Digital Keeperは、多要素分散保管の考え方に基づき、アカウントやデジタル資産の本体はお客様側に保存いただき、管理情報(保管場所や鍵となるパスワードなどの情報)だけをお預かりするサービスですので、機密情報も安全に預けることができます。

今なら1ヶ月無料で全機能を自由にお使いいただけます。この機会にぜひお試し下さい。(詳細は下記バナーをクリックすると新しいウィンドウでご覧いただけます)。

Digital Keeperバナー

 

プッシュ通知を
>

「このブログとデジタルキーパー社」
このブログはデジタルキーパー株式会社が「デジタルの安全な使用と継承~デジタルキーピング」をテーマに、「スマホ、PCの安全な使用方」から「正しいパスワード」「不正アクセスの防ぎ方」「デジタル遺品管理などデジタル終活の方法」まで、様々なノウハウをご紹介するブログです。
さらに当社は2019年夏からは「コーヒー1杯分の代金でデジタル終活支援サービス~Digital Keeper」をリリースしました。
誰にも必要なデジタルキービングをサポートします。

CTR IMG