【お知らせ】がんばる企業応援マガジン最新記事のご紹介
危険!一つのパスワードを使い回していませんか?
2013年にはオンラインサービスで相次ぐ不正アクセス、不正ログインが報告された。その手口に多く見られたのが、何らかの方法で入手した別のサービスのID、パスワードのリストを総当たり的に自動入力し、ログインを試みるというもの。この手口は「パスワードリスト攻撃」とも呼ばれ、ユーザが同じIDやパスワードを複数のサービスで使い回している場合、ログインの成功率が高くなるのが特徴だ。
IPA(独立行政法人 情報処理推進機構)ではこうした手口による被害の拡大を受け、2013年8月に「全てのインターネットサービスで異なるパスワードを!」と題した、文書による呼びかけを行った。IPAはその中で、2013年4月以降にパスワードリスト攻撃を受けたと公表した企業のうち、不正ログインの試行件数と成立件数が公表された主なものを公開。うち2件のケースでは、成功率が実に1%を超えていたことを報告している。裏を返せばそれだけ、同じID、パスワードを使い回しているユーザが多いということだ。
IPAは、パスワードリスト攻撃の被害者とならないために、サービスごとに異なるパスワードを設定するよう、呼びかけている。しかし、今やインターネットにはID、パスワードを必要とする多くのサービスがあり、利用するサービスが増えれば増えるほど、その管理は煩雑になる。そこで重要になってくるのが、IDやパスワードをいかに管理するかだ。
IPAではその答えの一つとして、表計算ソフトなどでID、パスワードのリストを作成し、パスワード付きのファイルとして保存する方法を紹介している。
| 番号 | 利用
サービス | ID | パスワード | 登録情報 | 登録メール
アドレス | 備考 |
|---|
| 1 | ○○銀行 | aaaaa | 3gl2THk3qq | 名前・住所・電話番号・口座情報 | なし | |
| 2 | △△通販サイト | bbbbb | PO5lkji5we | 名前・住所・電話番号 | 01@mail.com | |
| 3 | ■■メール | ccccc | Cv99sdmmXP1 | 名前・住所・電話番号 | 01@mail.com | |
| 4 | facebook | fffff | ijk23456 | 名前・住所・電話番号 | 02@mail.com | |
| 5 | … | | | | | |
| 6 | … | | | | | |
例:利用サービスとそのパスワード等のリスト
たくさんのパスワードを効率的に管理するためにも、メンテナンスが簡単にできるようにデジタルデータとして保存する方法が便利。Excelなどでサービスごとの一覧表を作成し、パスワードをかけて保存しよう。
マイクロソフト Excelの場合は、保存時に以下の方法でファイルにパスワードを設定することができる。またこのほか、メモ帳などのテキストファイルで作成したリストを、パスワード付きの圧縮ファイルに変換して保存する方法もある。
マイクロソフト Excelで作成したID、パスワードリストをパスワード付きファイルとして保存する方法
- *画像をクリックすると大きなサイズでご覧いただけます
ファイルを保存する際、「名前を付けて保存」ダイアログボックスで、「保存」ボタン左の「ツール」から「全般オプション」(Excel 97の場合は、「オプション」ボタン)を選択する。
半角で最大15文字までのパスワードを設定できる。なおアルファベットの小文字、大文字は区別される。
IPAではオンラインバンキングなど、特に重要なID、パスワードについては、リストをIDとパスワードに分けて作成し、パソコンとスマートフォンなど異なる場所で保管することを推奨している。その際、IDとパスワードにそれぞれ同じ番号を振るなどすれば、組み合わせが分かりやすい。
| 番号 | 利用サービス | ID | 備考 |
|---|
| 1 | ○○銀行 | aaaa | |
| 2 | △△BANK | bbbb | |
| 3 | ■■カード | cccc | |
| 5 | … | … | |
| 6 | … | … | |
| 番号 | パスワード |
|---|
| 1 | 3gl2THk3qq |
| 2 | PO5lkji5we |
| 3 | Cv99sdmmXP1 |
| 4 | … |
| 5 | … |
例:IDとパスワードを別々に管理するリスト
より安全性を高めるために、IDとパスワードはファイルを分けて保存するのが望ましい。できればファイルだけでなく、保存先も1カ所にまとめないようにしよう。ID一覧表、パスワード一覧表を個別に作成し、それぞれの関係性が分かるように同じ番号を振っておくなど工夫したい。
このほか市販のパスワード管理ソフトやスマートフォン、タブレット向けのパスワード管理アプリを利用する方法もある。多くのセキュリティベンダーが、専用のソフトを提供しているので、ぜひチェックしてみよう。
目次へ戻る
ブラウザに保存されたID、パスワード情報を削除する
自分では覚えきれないオンラインサービスのID、パスワードを、ブラウザのオートコンプリート機能を使って記憶させているという人もいるだろう。オートコンプリートは過去の履歴から、フォーム内に予測される内容を入力してくれる大変便利な機能だが、オンラインサービスのID、パスワードを記憶させる場合は細心の注意が必要。もし他人がそのブラウザを使えば、記憶されたID、パスワードを使ったなりすましアクセス、ログインが簡単にできてしまうからだ。
共有のパソコンはもちろん、自分専用のパソコンの場合も、パソコンを起動したまま離席することがあるなど、少しでもほかの人に使用される可能性があるなら、ID、パスワードを記録するオートコンプリートはオフにしておくほうがよいだろう。
すでにオートコンプリートにID、パスワードを保存している場合は、以下の方法で消去することができる。
ブラウザからオートコンプリートの履歴を削除する方法
ここでは、Internet Explorer 9 を使って説明する。なお、Internet Explorer 7 以降はほぼ同じ手順で作業を完了できる。
- *画像をクリックすると大きなサイズでご覧いただけます
1.「ツール」から「インターネットオプション」を選択。
2.「コンテンツ」の「オートコンプリート」で、「設定」をクリックする。
3.「オートコンプリート履歴の削除」をクリックする。
4.「フォーム データ」および「パスワード」のチェックボックスをオンにして、「削除」をクリックする。
ブラウザにID、パスワードを記録しないように設定する方法
上の手順3の「オートコンプリートの設定」ダイアログで「フォームのユーザー名およびパスワード」のチェックボックスをオフにして、OKをクリックする。
目次へ戻る
セキュアなアクセスが可能な「ワンタイムパスワード」とは?
最近ではID、パスワードをさらにセキュアに管理する方法の一つとして、「ワンタイムパスワード」を採用するサービスも増えている。ワンタイムパスワードとはその名前の通り、そのとき限りの使い捨てパスワードのこと。パスワードは一定時間ごとに変更される仕組みで、ユーザはトークンと呼ばれる専用の小型端末か、同じ機能を持つスマートフォンのアプリで、今利用可能なパスワードをチェックし、入力する仕組みだ。
またこのほか、通常のパスワードを使ってログインする際に、指定したメールアドレスや電話番号宛てに第二のパスワードを送信。それを入力してはじめて、サービスが利用できるようにしたものもある。
いずれも、1度使ったパスワードは二度と使用できないのが特徴で、オンラインバンキングからゲームまで、幅広いサービスに導入されている。
目次へ戻る
【お知らせ】がんばる企業応援マガジン最新記事のご紹介
