パスワードの現状
あなたは、いくつの会員やサービスに登録しパスワードを管理していますか?
銀行、ネット通販、ゲーム、SNS、携帯の端末・・・きっと想像できないほどの数のパスワードや暗証番号を管理しています。増え続けるこれらのパスワードとどうやって私たちは共存していけばいいのでしょうか。
防衛方法と対策を一緒に考えていきましょう。
パスワードが溢れる時代
パスワード、という言葉はいつから日常で使うようになったのでしょうか。
自身のことでいえば、銀行のATMの暗証番号だったように思います。
電子機器やインターネットが発達すると共に、パスワード/暗証番号が日々増え、今ではすでに管理しきれないほどのパスワードに埋もれているような気がします。
パスワードは、とても扱いの難しいものです。
・人に知られてはならない
・定期的に変更しなくてはならない。
・どこかにメモしておけず、記憶しておかなければならない
・使いたいときにすぐに使えなければ意味がない
・忘れるとかなり面倒
・・・こんなものを大量に管理しろと言われても、絶対にできませんよね。
ネットで買い物をしようとしたら、送付先を入れる時に会員登録を迫られることがよくあります。
いきなり会員登録と言われ、そこでなんとなく思いつきでIDとパスワードを入れるものの、IDは使われているから変えろなどと言われてまた思いつきで変えて、そしてその時に主に使っているパスワードを入れる・・・そんな流れが普通でしょう。
こんな、思いつきで登録するIDやパスワードを記憶しておくことは困難です。
また利用しようとした時に忘れ、また会員登録を最初からやり直して、思いつきで入力していく・・・こんな風にして増殖していきます。
登録したパスワードは、どこで管理されているのか
私たちが登録したパスワードは、一体、どこに管理されているのでしょうか。
まず、どんな情報が管理されているか考えてみます。
何も情報を登録しない会員登録であれば良いですが、企業側はできるだけ多くの情報を登録させようとします。
名前
住所
生年月日
メールアドレス
電話番号
カード情報
など。
オンラインショップなどで買い物をすると、大抵、これらの情報はすべて登録させられます。
そしてその情報に対して、IDとパスワードが紐付けされます。
これらの情報が、ネット上のどこかのサーバーに記録されています。
いろいろなセキュリティー対策はされているとはいえ、100%安全ということはありません。
ニュースでも、ハッカーがサーバーを攻撃して情報が漏洩したという事件がよく取り上げられていますが、大きな企業や数の多い個人情報の場合にはニュースとなりますが、小さなものを含めると、リアルタイムに情報がどこかで盗まれています。
情報の重要性はいろいろあれど、毎日のようにサーバーは攻撃され、情報が漏洩しています。
ですから、私たちが登録する情報は、基本的に漏洩すると思っておいたほうが良いでしょう。
漏洩したらどうなるか
漏洩すると何が困るのでしょうか。
もちろん、IDとパスワード、カード情報がそのまま漏洩したら、それが使われて被害を被ります。
カードについては何らかの保険があるかもしれませんが、IDやパスワードはそうもいきません。
IDやパスワードを使って勝手に使われることで、なりすましなどの被害に遭うことがあります。
SNSで勝手に何かを発言されたり、何かIDで管理しているものがあればその所有者を変更されたりすることもあります。
つまり、何かしらの財産を奪われたり、誰かを傷つけたりすることになります。
また、IDやパスワードが直接漏洩していなくても、個人情報からIDやパスワードが推察されてしまうこともあります。
あとは、何らかの名簿として業者で取引されるなどもあるかもしれません。
この場合には、知らない相手からのDMや営業電話などが考えられます。
これは偶然かもしれませんが、とある大手の通販サービスに登録をしたところ、翌日から携帯にメールが届くようになり、営業電話がかかるようになりました。
資料一括請求など、複数の相手先に情報が一括送信される場合などもありますので、正直、データがどこにどう存在しているのかはわからないと思っておいたほうがよいでしょう。
パスワードのずさんな管理
パスワードは管理しきれないというものの、パスワードをずさんに管理をすると大変なことになります。
ある人は、ネットショッピングで勝手に買われてしまいました。
ある人は、お金が勝手に引き出されてしまいました。
ある人は、アカウントが則られ、何かの宣伝を書き込まれました。
預けてある先から情報が漏れたのであれば管理している側の責任ですが、大抵の場合、自身に問題があります。
パスワードに安易なものを設定していることがほとんどで、
初期設定のまま
1234
0000のような並び数字
生年月日そのまま
といったような誰でも想像がつくようなものにしてあるケースが大量にあるそうです。
たとえば携帯電話のオートロックのパスワードなどで、面倒だからといって単純な数字の組み合わせにしている場合が多いようですが、自分だけでなく友人の電話番号や生年月日までもが携帯電話から漏洩してしまうことになるのです。
たった4桁の番号でいろいろなものを失うのはイヤです。
パスワードの定期変更には意味があるか?
パスワードの定期変更が最も有力であるということが言われていますが、それは本当でしょうか?
私は一定の効果があると考えています。
パスワードはハッキングされたらすぐに使用されるから意味がないということも言われていますが、ハッキングされてすぐに使用されるばかりでもないと思います。
ハッキングは様々な方法でされますし、それが長期に渡って使われることもあります。
被害を最小限に食い止めるためにも定期変更にはそれなりに意味があると思います。
ただ、どんなパスワードにしようが、ハッキングされたらすぐに被害にあうと考えるのも普通です。
ですから、パスワードの定期変更しているから大丈夫、と思うのは危険なことです。
パスワードを管理・コントロールする
パスワードをすべて管理できるか否かは、自身の行動にかかっていますが、正直、すべてを管理することはできないでしょう。
しかし、ある程度は管理することができます。
パスワードをまとめて記録する:手動
一番ベーシックな方法は、管理するファイルにパスワードをかけ、その中に他のあらゆるIDとパスワードを記録していくという方法です。
こうすることによって、管理するパスワードは1つで済みます。
パスワードをまとめて記録する:自動
パスワードを設定したら1つ1つを記録していくのはなかなか根気のいる作業です。
変更したらその都度、変えていく必要もあります。
また、その記録したファイルの管理も大切になりますので、それの記録を代行してくれるソフトというものがあります。
私が使用しているのは、1Passwordというソフトで、iPhone / iPad / android / Windows / MacOSのほぼすべてのプラットフォームで一元管理できます。
他にもいろいろと管理ソフトというものはありますし、無料のものもありますが、できれば有料でユーザーが多く企業としてしっかりしているところをおすすめします。
パスワードを使い回さない
すべてのサービスでパスワードを同じにしていませんか?
このような状態だと、あるサービスでハッキングがあると他のサービスにまで同じパスワードで入られてしまいます。
できれば、すべてのパスワードでパスワードを変えておくというのが良いでしょう。
情報漏えいしてもログインさせないようにする
情報の漏えいがあってはならないですが、それでも漏えいすることを前提に考える必要があります。
そこで漏えいしても、ログインができないようにしてしまうことで防ぐことができます。
二段階認証機能
google や facebook、Lineなどで導入されている二段階認証機能です。
それまでログインをしたことのない端末からログインをしようとするとストップがかかり、登録されている携帯電話などに別の番号が送られ、それを入力しないとログインできないようになっています。
最近ではこの方法がよく使われていますので、ぜひこちらはおすすめです。
端末を変えると再認証が必要になります。
端末特定認証
二段階認証もこの機能ではありますが、証券会社や金融などでは、アクセスできる端末を予め特定することで、他からのアクセスを防ぐということができます。
企業向けのオンラインバンキングなどではメジャーな機能ですが、証券会社でも多く導入されています。
これも、とても効果の高いですが、端末を変えると再認証が必要になります。
二段階認証や端末認証など、特定の人しかアクセスできないようにする
最近では、ログインをすると通知をしたり、ログインそのものが携帯電話などで認証を必要とする機能もあります。
ちょっと面倒ですが、たとえ漏えいしてもログインできないようにするということで防ぐことができます。
通知機能の活用
ログイン時の通知、購入時の通知など、通知機能をオンにしておくことで、一時的な被害にあってもすぐに対応をすることができます。
たとえばオンラインショップなどで勝手に購入された場合などは、すぐに連絡をすれば止めることができます。
通販やカードは、こうした被害への保険などもあったりするので、すぐに対応すれば大丈夫なものも多くあります。
パスワードのつくりかた
パスワードはどうしても安易なものにいきがちです。
名前や生年月日など、自身が忘れないようなローマ字や数字を用いることで使いやすさを優先してしまいます。
しかし、情報漏えいが起こった場合などは、こうした情報を基にハッカーはあらゆる組み合わせのパスワードを生成し、ログインを試みます。
名前や生年月日を使わない
名前や生年月日を使わないで、どうやってパスワードを作ったらいいでしょうか。
生年月日が12月31日だったとします。
これを1231と設定するのは問題ですね。
順番を入れ替えて、1123でも簡単に見破られます。
少し工夫をしてみましょう。
掛け算を入れるなどして、2を掛けた「2362」数字を入れ替えて「2236」
31から12を引いた19をベースに「0019」数字を入れ替えて「1009」
12掛ける31は372なので「3720」数字を入れ替えて「0237」
こうすれば、1231とはほど遠い数字になりますので、察しにくいことになります。
また、暗証番号をメモするとそのまま使われてしまうので、数式をメモしておくのもよいでしょう。
記念日や家族の数字を使う
自身の数字はパスワード設定の際にも拒否されることが多くなってきました。
ですから、家族が持っている数字や、自身の記念となる日の数字などを使うのもよいでしょう。
子供の誕生日や結婚記念日の数字を入れ替えたものなどは推測がしにくいものです。
語呂合わせをする
パスワードの語呂合わせをするのも手です。
佐藤であれば310など。
あと、0(ゼロ)とo(オー)を組み合わせるのもよいですね。
satoであれば、sat0など。
これらを組み合わせて、3t0というものを使えば、推察されにくくなります
読み方を若干変える
ローマ字を使って、読みにくいものにする方法もあります。
satoであれば、saatoo(aとoが多い)やsasatto(ささっと)など。
tosaなど、逆読みするなどの方法もあります。
【推奨】ランダムにパスワードを生成する
パスワードは生成をすることができます。
人が想像するものよりも、機械的に生成されるランダムなもののほうが推測がされにくいです。
できれば、
英字の大文字と小文字の組み合わせ
数字
記号
最低8文字以上
という組み合わせで生成するのが良いでしょう。
パスワードの生成は検索でもいろいろなサイトがありますし、パスワード生成ソフトでも生成機能があります。
パスワードと共に生きる
パスワードから逃げることはできませんし、今後、どんどん増えてくでしょう。
どうやって共存するか、それも課題の1つですね。
パスワードを管理する量を減らす
会員サービスに登録したままで何も使っていないというサービスは、解約をするに限ります。
また最近では、googleやfacebookなどでログインできるような機能がありますので、別にログインやパスワードを登録しなくても良い場合もありますので、そうしたものを利用することも1つの方法です。
パスワード以外の認証
最近ではパスワード以外に生体認証が取り入れられてきています。
銀行のATMでは静脈を利用したもの、最新のiphoneなどは指紋認証ですね。
パソコンでも指紋認証機能が搭載されているものも多いですが、まだまだ少ないようです。
いずれパスワードはこうしたものに置きかれられる可能性がありますね。
漏えいは案外身近なところから
実は、情報漏えいのほとんどは身近なところにあります。
たとえば、パソコンの操作が自動でロックされていないことから他人が操作できてしまったり、安易なパスワード設定をのぞき込まれて覚えられてしまったりなど。
また、PCに付箋紙でパスワードを貼っていたり、手帳に書き込んでいたりする人もいますが、それは盗んでくれと言っているようなものですね。
「空き巣の最も多い原因は、鍵がかかっていなかったから」というケースが多いそうです。
いくら機能を高めても、高度な防御を考えても、懐が甘いと簡単に情報は漏れてしまいます。
特に一元管理をする場合などは、そのマスターとなるパスワードの管理はとても重要です。
今後、公共でもIDやパスワードが主流になり、マイナンバー制度が普及すると、さらに重要な扱いになってくることでしょう。
パスワードをなくすことはできません。
交通事故がなくならないことや、空き巣がなくならないことと同じように・・・どうやってパスワードとも共存していくか、意識をするだけでも防ぐことができますので、意識を高めていけたらと思います。