fbpx

【実例あり!】誰もがこれでいいと思っているパスワードが実は超危険なわけ

「簡単なパスワードや、パスワードの使い回しが危険なのは分かっているけど、いくつも覚えることなんてとてもできない。いったいどうしたら良いの?」。
誰もが悩むこの大問題を解決してデジタル終活を進めるための糸口を具体的にご説明します。
/ins>

これからもパスワードがなければデジタルは使えない!

パスワードに代わる認証方法は様々な研究が進み、生体認証など多くの手段が使われはじめています。

しかしまだ決定版と言われる技術はまだ育っていません。あくまで代替手段です。最新最強の機種でも最後は「IDとパスワードは必要」です。

例えば、デジタル遺品やデジタル遺産として誰かのアカウントを継承した時のことを考えてください。

仮に生体認証しか受け付けないデジタル機器があったとすればどうなるでしょう?
継承は不可能であり、その機器や含まれているデジタルデータは永久に誰もアクセスできなくなります。

今後いかにに本人確認=認証技術が進歩しても、パスワードのような認証手段は、当分の間存在し続けるはずで、私たちは相変わらずパスワードを覚え続けなければなりません。

 人はパスワードをいくつ覚えられるのだろう?

普通の人が覚えられるパスワードはせいぜい3つから4つ

普通の人間にとってパスワードのような意味のない記号を記憶することは非常に難しいです。

「覚えられるパスワードは何組?」と聴いたアンケートによると、「2~3組」が55%、「4~5組」23%と回答があったそうです。

これは「2009年の野村総合研究所の調査」の結果で、10年前、まだあまりパスワードの重要性が言われなかった当時でこの数字です。

今はセキュリティ意識が格段に高まっていますので「英数字と文字と記号を混在して8文字以上」は当たり前で、簡単なパスワードでは許してくれないサービスが増えています。
まして重要なシステムや機密情報用の長いマスターパスワードなんてとても覚えることはできません。

パスワードを覚えるのは年々大変になって、もはや不可能になっている気がします。パスワードを強化する重要性はわかっても、とても実現できるとは思えません。

記憶の壁を乗り越えてパスワードを覚える方法を考えて、、、、

「使い回しはするな」と言われても、普通の人間が10も20も異なったパスワードを覚えることなんてとうていできません。

  「使いまわし」 
  「覚えやすい単語や数字の組み合わせ」

になってしまうのはどうしようもありません。

そこで誰もが「何通りかの覚えることができて、一見他人が知らなそうな言葉」「誕生日、記念日の日付」を組み合わせて「複雑なパスワードを作る」というの運用方法を使ってしまいます。

きっとあなたも同じではないですか? 私もそうでした、、、

ブログ内の関連記事(新しいウィンドウで開きます)

身に覚えがない「dアカウントでログインした方に送信しています」とか「セキュリティコード」などのログイン通知メッセージを受け取った方はいませんか?2018年の秋。愚かにもdアカウントのパスワードを使い回していた私は、不正アクセスされたあげ[…]

/ins>

誰もが良くやる「このパスワードの使い方」。ほんとに大丈夫?

「私は使い回しなんかしていないぞ。ちゃんと使い分けている」
と言う方が良くやっているパスワードの運用はおそらく上の方法でしょう。

   ※正直に言いますと「私も以前はやってました」

  • 銀行のような最重要アカウント・・・「かわいい孫の名前と誕生日=yumi1221 を使おう」
  • Facebook、楽天のような普通のアカウント・・・「娘の名前と誕生日=yoko0521 でいいか」
  • それ以外のサービス・・・「お母さんの名前と誕生日=miyuki0421 にしておこう」
  • 「パスワードの変更が必要な時はこの三つのパスワードを入れ替えて対応すればおぼえられるな」

残念ながらこれは「推測できる安易な単語の使用」と「使い回し」の併用でしかなく、「安全どころか極めて危険なパスワードの使い方」です。

家族の「名前」や「誕生日」はすぐにばれてしまう最悪のパスワード。しかも使い回ししては、、


3つのパスワードを使い分けても、結局は「使いまわし」に過ぎません。

どこか一つののアカウントが流出することで、使い回しているすべてのアカウントがすべて危険にさらされることになってしまいます。

また家族の名前や誕生日は、SNSなど様々なネットの情報を丹念に検索して分析すれば、容易に推定できる「ほとんど公開されている情報」です。

「昨日は娘の誕生日で近所のレストランで食事しました」と言うSNSの書き込みに、「娘さんの名前の入ったケーキの写真」でも付いていれば、個人情報集めには十分です。
ましてアカウントの不正使用の多くは、家族や身近な人によって行われている事実を忘れてはいけません。

使い回していたばっかりに、、、、アメリカの有名なIT記者を襲った悲劇

次のリンクは、アメリカのIT専門の記者がアカウントを盗まれて、名誉やプライバシーを大きく傷つけられ、家族の写真など大切なデシタルデータまで失ってしまった「恐怖の顛末」です。

この記者、もちろんプロとして、アカウント管理にはかなり気をつけていました。
しかしオンラインサービスの盲点をついた攻撃でひとつのパスワードを奪われ、「うっかりパスワードを使い回していた」おかげで他のサービスにも続々侵入されて、「偽の書き込みはされるわ、大切な写真を消去されるは」ひどい目にあいました。

この記者は思い出も、貴社としての信用も失ってしまったのです。

ひと昔前の記事ですので、今はこんな欠陥はなくなったと信じたいですが、まだまだ同様のリスクは今でもあり得ます。

いったん漏れた「使い回しされたパスワード」は被害をどんどん広げてしまいます。

長文ですが、ぜひご覧になってください。非常に興味深い必読記事です

パスワードは、個人情報を守ってくれる砦でも何でもない。
いまやどんな人のパスワードも簡単に手に入るようになり、パスワードの時代は終焉を迎えた。US版『WIRED』のシニア・ライターを務める筆者は、Twitterをはじめとする、ありとあらゆるアカウントをハックされ、子どもとの思い出の写真から仕事の記録、信頼から名誉まですべてを失った。
わたしたちは、デジタルの世界で自分の身を守れるのか?

(本誌『WIRED』VOL.8より転載)
「WIRED JAPAN」より

/ins>

IPA(独立行政法人 情報処理推進機構)の推奨したパスワードの使い方

IPAも「使い回しのリスク」を繰り返し指摘している

独立行政法人情報処理推進機構(略称:IPA)は、日本のIT全般を技術面、人材面から支える、経済産業省所管の独立行政法人です。
IPAが発表する各種のリポートや所感は日本のITの基準と言っても良い権威がある物となっています。

そのIPAが個人両者に向けて発表した

「 全てのインターネットサービスで異なるパスワードを! 」~多くのパスワードを安全に管理するための具体策 ~

によりますと

パスワードリスト攻撃とは、悪意のある者が、何らかの方法で事前に入手したIDとパスワードのリストを流用し、自動的に連続入力するブログラムなどを用いてそれらIDとパスワードを入力することで、ウェブサイトにログインを試みる手口です。
ここでログインが成立したIDとパスワードの組み合わせはその後、他の不正アクセスに悪用され、最終的には直接金銭的被害に結びつくものと考えられます。攻撃が成立する背景として、“同じパスワードを様々なインターネットサービスで使い回す利用者が多い”ということが挙げられます。
パスワードリスト攻撃はこの状況に目を付けた攻撃手法と言えます。

とされ、実際に企業が攻撃を受けて、侵入された件数が挙げられています。さらに

 個人の利用者がパスワードリスト攻撃による最終的な被害者にならないようにするためには、すべてのインターネットサービスで異なるパスワードを設定する必要があります。
そして、すべてのサービスで異なるパスワードを設定し、それらを日常的に利用するためには、“複数のパスワードを”、“どのように管理するか”が重要となります。

と改めて注意喚起が成されています。

ブログ内の関連記事(新しいウィンドウで開きます)

通販サイトを狙ったセキュリティ犯罪が続いています。2019年6月にはヤマダとコジマに続きイオンのサイトが狙われ、パスワードリスト攻撃により不正アクセスにより大きな被害を出してしまいました。どうしたら防げるか?イオンの事故より、デジタル終[…]

膨大なリストからパスワードを盗み出す、パスワードリスト攻撃のイメージ
ブログ内の関連記事(新しいウィンドウで開きます)

令和を迎えて大手家電量販店「ヤマダとコジマ」の大きなセキュリティ事故が報道されました。さらに7月にはセブンペイでも大きな不正ログイン事件が発生しました。その後も家電量販店、大手デパートの三越伊勢丹と事件は続きます。身近なサービスで発生す[…]

セキュリティー事故の謝罪会見イメージ

まとめ:
しかし私が覚えているパスワードの数は「4つだけ」! どうやって?

ちなみに私個人は、パスワードは4つしか覚えていません。
この4つこそ私のマスターパスワードと言って良いと思います。

しかもこれで数百のサービスや多数の機器のアカウントを、ほぼ問題ないレベルで管理できていると自負しています。

その秘訣は合理的な方法でデジタル終活を成し遂げること」につきます。デジタル遺産やデジタル遺品についても、パスワードを使い回さなくても、確実に継承できるように準備できました。

どうしたらよいのか?詳しくこのサイトで引き続きご紹介していきます。

ブログ内の関連記事(新しいウィンドウで開きます)

当サイトは「デジタル終活」とはお年寄りの終活とは異なり、「日頃からIDやパスワードなどデジタル資産を管理し、不要な物は断捨離し、デジタルを安全に使いながら継承も準備しておく」といった一連の作業と考えています。これが完成すれば、自身も安心[…]

デジタル終活を終えて幸せそうなシニアカップル

 

「このブログより役に立って、デジタル終活もできるサービスがあるって?」

Digital Keeperバナーそれは日経新聞やテレビで「独創的でこれから必要」と取り上げられたDigital Keeper®です!
週3回「スマホの安全」「不正ログインを防ぎ方」「OSやアプリのアップデート情報」など、役立つセキュリティ情報が届き、さらに「わかっていてもやってない、スマホやアカウントのデジタル終活」も実現できるオンラインサービスです。

会費は月々わずか167円(年2000円)。1ヶ月無料で試用できます。アフターコロナにそなえ、ぜひご体験下さい。

詳しくはこちら