1. HOME
  2. B'scre8
  3. パスワード流出への対策・備え
B'scre8

パスワード流出への対策・備え

ビーズクリエイトの伊藤です。
角川へロシアのクラッカーによる攻撃で様々な情報が流出しているのは記憶に新しい出来事です。
この機会に自分も含めてアカウントの管理に不安のある方へ、セキュリティを高める改善案を共有したいと思い取り上げてみました。

まずはパスワード変更から

そもそもですが、アカウント情報を持っているサービス側で情報漏洩されたら、ユーザー側で対策できることまずパスワード変更です。
たとえアカウント情報が流出しても、不正アクセスされる前にパスワードを変更すれば十分に価値のある行動です。

それでは情報漏洩していない他のサービスのパスワードはそのままでいいか?というと良いわけがなく、現状のパスワードが『文字数が少ない・数字か英文字だけの設定』ならリスクが高いので変えましょう。
良いパスワードの定義として、以下の2点を守ればリスクを減らせます。

・パスワードの複雑化
アカウントへの不正アクセスは割と日常的にプログラムを使って自動で行われています。
その時に大抵はパスワードは総当たりで行われるため、パスワードを複雑にするだけでリスクを低減できます。
具体的には14文字以上、英大小文字+数字+記号の組み合わせが理想的です。
ただ、サービスによっては英数字のみしか使えない場合があるため、その場合は桁数を増やせるだけ増やしましょう。
英小文字だけでも14文字なら総当たりで51年凌げる計算です!

・パスワードを使いまわさない
アカウントごとでパスワードを分けることで、情報漏洩時に1つのサービスでしか損害を受けないようにリスクを切り分けできます。

言葉にすると非常に簡単ですが、では何故やらないのか?と聞けば殆どの人は管理の都合と答えると思います。
「パスワードを複雑化すると覚えていられない」
「使い回しているのは覚えるのに限界があるから」
といったようにパスワードの管理自体が問題になって浸透していないことが要因です。
これについては良い管理方法があるので後ほどツールをご紹介します。
なのでサービスごとにパスワードを変えていくのがベストの手法として捉えてください。

セキュリティを向上させる小技

パスワード自体を難しくして総当たり攻撃に対処する以外にもセキュリティを上げる小技が色々あります。
それはユーザー側ではなくサービス側が提供しているものもあり、有名どころは『二段階認証』です。
いわゆる携帯の電話番号を登録して、ログイン時にSMSで確認を取るというものです。

ただし二段階認証の概念が浸透したことで、サービス側を偽装してSMSを送って、偽サイトでログイン情報を不正入手するという手法も出てきました。
この対策方法は『SMSのリンク先を迂闊に開かない』こと。悪質なメールと同じです。
私の体感ですが、不正にログイン情報を入手しようとするメール・SMSにはある程度、共通する傾向が読み取れます。

・さも時間がないと焦らせるような情報が前面に出ている
・いかに危険か不安にさせるような情報が前面に出ている

基本的にサービス提供側は余計な混乱を招きたくないため、不安感を減らすような文章作りをします。
ユーザー側が混乱して焦れば、サービス側がつっつかれるわけですから気持ちはわかります。
対して不正に情報を入手したい側は『いかに不正サイトへ誘導するか』が目的となっているため、不安にさせるような文面にしているわけです。
なのでメール、SMSをひと目見た時の印象が『時間がない・不安を煽る』と感じたら、リンクは押さずにサービスの公式サイトを見に行くなどしましょう。

アカウント情報の管理方法

ある程度の自衛手段はここまでのことを実践できれば達成できます。
それでは管理を楽にするためのパスワードを管理ツールですが、無料で使えるBitwardenがおすすめです。
PCはブラウザ拡張機能で、スマホではAndroidとiPhoneのどちらにもアプリがあります。
Bitwardenの利点としては複数のログイン情報を1つで管理でき、さらに暗号化して安全に保管できることです。
たとえばパスワードをメモ帳に書き残したとして、現実だったらメモ用紙の紛失リスクがあります。PCでの保管だとPC自体がクラックされたら全サービスのアカウントが1発で流出するリスクがあります。

Bitwardenを使うとサービスごとのログイン情報(IDとパスワード)を暗号化してBitwarden側が保持してくれます。なので仮に50のアカウントを持っていても、Bitwarden1つに覚えさせておけばいい、となります。
そのままだとサービスにログインする時に使えないため、Bitwarden自体にマスターパスワードを入力すれば、保存してある全てのログイン情報が使えるようになります。
そのため、Bitwarden用のマスターパスワードを思いっきり難しくして、マスターパスワードだけ自分が管理すれば他サービスのIDもパスワードもどれだけ難しくしても管理は簡単なまま変わらないというわけです。

複数のデバイスでBitwardenが使えるので、PCとスマホのそれぞれにBitwardenを導入しておけば、Bitwarden用のマスターパスワードでどの端末からでも、Bitwardenに保管したログイン情報が使えるのがポイント。
ちなみに最大のポイントはやはり無料というところ。

注意点としてBitwardenに登録したアカウント情報を使うには、Bitwardenにログインするためのマスターパスワードが必要ですが、これは再発行できないため紛失したらBitwardenに登録した全情報が見れなくなります。
なのでマスターパスワードだけは絶対紛失しないように保管する必要があります。
それを踏まえても有用なサービスなので、この機会にアカウント管理の一元化をご検討ください。



ビーズクリエイトは長野県東御市にある唐沢農機サービスという農機具屋を母体とした、WEBサイトの制作・コンサルティング事業を展開する部門です。
WEBサイトを通した自社の知名度や評判の向上、問い合わせや商品注文などの売上増などのお悩みについて、WEBサイトの制作やコンサルティングといった形でお手伝いさせていただいています。

◆ビーズクリエイト公式サイト
https://www.bscre8.com

ビーズクリエイトでは新卒・中途、WEB業界の経験・未経験者を問わず求人を受け付けております。
WEB業界で何かを成し遂げたいという気持ちをお持ちの方は、是非お声がけ下さい。

◆当社リクルートサイト