インターネットと携帯電話のサービスを使っていると、IDやパスワードが大量に増えてくる。増殖するパスワードを管理するコツと、パスワードを破られないようにする安全対策をまとめる。(テクニカルライター・三上洋)
パスワードを破られてオークションで不正利用される独立行政法人のIPA・情報処理推進機構が、毎月発行しているリポートで「今一度、パスワードを点検しましょう!」という呼びかけを行っている。IPAの「コンピュータウイルス・不正アクセスの届出状況(9月分および第3四半期)」によるもので、パスワードの安全対策をまとめている。
それによると、オークションで自分のアカウントを不正利用されて、勝手に売買されてしまったという例を挙げて、「パスワードに数字だけの組み合わせや簡単な英単語を設定していたために、容易にパスワードが見破られて、アカウントを不正に利用されたと推測されるケースがあった」と分析している。
いわゆるアカウントの乗っ取りだが、これには2つのパターンがある。1つはフィッシング詐欺によるもので、前回の記事「またも偽ヤフオクのフィッシング詐欺」でとりあげたように、偽サイトへ誘導してIDとパスワードを盗み取るパターンだ。
もう1つは、IPAのレポートで取り上げられているパスワードを見破られてしまうパターンだ。数字だけの単純なパスワード、よく使われる英単語などは、見破られる可能性が高い。「辞書攻撃」と呼ばれるよく使われている文字列でログインを試みる攻撃などが原因だ。またプロフィールにあった情報から推測されたり、IDの一部を省略しただけのパスワードを使っていたために見破られたという例もあるようだ。
安全管理の3ポイントこれについてIPAでは、パスワードを見破られないようにしながら安全に管理するポイントを3つ紹介している。いずれも基本的なパスワードの安全対策なので、必ず実施したい。
●強いパスワードを作る
解読されにくいパスワードを作る。パスワードを見破られないために「8桁以上にする」「文字の種類(数字、英語)をできるだけ多く使う」この2つを守るように呼びかけている。
●IDとパスワードは別々に保管、定期的に変更
長く複雑なパスワードを覚えられないので、紙にメモしても構わない。ただしIDとパスワードは別々に保管する。また漏えいを防ぐために定期的に変更する。
●利用に関する注意点
ログイン履歴を確認して、他人が勝手にログインしていないか確かめる。またネットカフェなど不特定多数が利用するパソコンでは、ID、パスワードは入力しない。接続するサイトが正しいものか確認する(フィッシング対策)など。
現在ではあらゆるものにID、パスワードがある。キャッシュカードの暗証番号に始まって、クレジットカードの暗証番号、オンラインバンキング、メール、携帯電話、ケータイサイトなど、ID、パスワード、暗証番号を大量に使っているだろう。多い人は数十個にもなるはずだ。こうなるとすべてを記憶するのは不可能だ。以前にも紹介したが、あらためてパスワード管理のコツをまとめておきたい。
筆者がお勧めするのは「重要なもの」「それほど重要でないもの」に分類すること。キャッシュカード、クレジットカード、オンラインバンキングなどのパスワード、暗証番号は、お金に関係するものなので重要なものになる。
これらの重要なパスワード、暗証番号は、頭の中だけに記憶して、かつ別々のものに設定する。共通のパスワードや暗証番号にすると、何らかの方法で情報流出が起きた場合に不正利用されるのでダメ。必ず異なるパスワード、暗証番号を設定しよう。
お金に関係のないもの、例えばネットサービスのID、パスワード、ポイントカードの暗証番号などは、紙のメモに書いて保存する。このメモは持ち歩かず、自宅のみつかりにくい場所に保存しよう。IPAの注意事項にもあったように、IDとパスワードを別々に保管することも心がけたい。
パソコンやインターネットで使うID、パスワードなら、パスワード管理ソフトを使う方法もある。パスワード管理ソフトは、複数のID、パスワードを保存・入力できるもので、データは暗号化して保存される。そのため仮に情報流出が起きても、解読される危険性は低いので安心だ。
パスワード管理ソフトには、無料の「ID Manager(アイディーマネージャー)」や「Keepass(キーパス)」、有料の「ロボフォーム」などがある。使い勝手を試して、自分にあったものを選ぼう。
ただしパスワード管理ソフトでは、データを利用するためのパスワードであるマスターキーだけは原則として覚えておく必要がある。マスターキーを忘れてしまうとID・パスワードを利用できなくなってしまうので、必ず頭の中に記憶しよう。
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20081010nt05.htm