前回、リスト型攻撃とそれがどんなに厄介なものかということを説明させていただきました。文字数という動かしがたい理由とはいえ、こちらの都合で対策の解説が先送りになってしまって申し訳ありませんでした。
前回の記事を読み、「自分のことだ」「家族は大丈夫だろうか」などと不安に思った方は、即刻、この記事を読んだ後すぐにでも、パスワードの使い回しをやめるためのアクションを起こしてください。
今回は、パスワードの使い回しをやめる方法として2つの方法を提案します。
- パスワード管理ソフトの導入
- メモする
著者プロフィール辻 伸弘氏(Tsuji Nobuhiro) - ソフトバンク・テクノロジー株式会社
セキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。また、アノニマスの一面からみ見えるようなハクティビズムやセキュリティ事故などによる情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。
1. パスワード管理ソフトの導入
パスワード管理ソフト(パスワードマネージャとも呼ばれます)とは、複数のサービスで設定しているユーザIDとパスワードを記憶、一元管理するソフトです。
パスワード管理ソフトを使えば、それを利用するためのマスターパスワードを1つ覚えておけば、その他のパスワードを覚えておく必要がなくなります(マスターパスワードに設定する文字列は複雑なものを設定してください)。
中には、パスワードを記憶、管理するだけでなく、ブラウザの追加機能として動作するものもあり、そちらを利用すればブラウザのお気に入りを利用する感覚でサイトへのアクセス、ログインを自動で行なうことも可能です。
つまり、パスワード管理ソフトを導入することでサイトごとに複雑なパスワードを記憶する必要がなくなるというわけです。
無償のものでも、有償のものでも、その評価版でも構いませんので、一度使ってみてください。その便利さとセキュリティレベルが向上したことに対する満足感・安心感がきっと得られるはずです。
【パスワード管理ソフトの一例】
- KeePass Password Safe : http://keepass.info/
- 1Password : https://agilebits.com/onepassword
- LastPass : https://lastpass.com/?lang=ja&ac=1
- RoboForm : http://www.roboform.com/jp/
- ノートン IDセーフ(ノートン360 マルチデバイス/ノートン インターネットセキュリティ) : http://jp.norton.com/portal-IDsafe/promo
- Password Manager : http://safe.trendmicro.jp/purchase/pm.aspx
2. メモする
筆者は色々なところで「パスワードの使い回しをしない管理はどうすればいいか?」という質問をされます。基本的に前述したパスワード管理ソフトによる管理を勧めるようにしていますが、中には費用面や技術面(使いこなせない気がするなど)に不安を感じて導入に踏み切れない方もいらっしゃいます。そのような方にはこの「メモする」という方法を提案しています。
しかし、「パスワードをメモする」ということについて抵抗感を示す方は少なくありません。この記事を読んでいただいている方の中にもいらっしゃるとことでしょう。
抵抗を感じる方は一度、以下のようなことを考えてみてください。
オンラインサービスのパスワードを保護する場合、どこからの、どんな攻撃・脅威を心配していますか?
きっと答えは
Web上のサービスに対する、広大なネットのどこかにいる攻撃者からの、不正ログインを心配している
などとなるでしょう。
こう考えれば、パスワードを手帳などにメモしておくこと、あるいは付箋に書いてモニタに貼っておくことも、場合によっては決して悪い選択肢ではないと筆者は考えています。なぜなら、ネット上にいる攻撃者は、あなたの目の前にある手帳や付箋を見ることなどできないからです。
確かに、この方法は原始的で稚拙な方法かもしれません。しかし、複数のサイトでパスワードを使い回すのに比べると、ネット上にいる攻撃者に対する防御策としては格段にセキュリティレベルが高まるといえるのではないでしょうか。筆者は、パスワードの使い回しをするくらいならば、メモ書きという選択肢を選んでほしいくらいだと考えています(もちろん、他人の目に触れないなど物理的に安全に扱う必要があります)。
* * *
パスワードを使い回していなければ、自分が使用しているサービスでIDとパスワードが漏えいしたというニュースが飛び込んできても変更すべきパスワードは1つだけで済み、労力も少なく、精神衛生上もよいことでしょう。
様々なサービスを使う上で、どうしても自衛しなければならない部分はあります。
その中で1人でも多くの人がパスワードの使い回しをやめることを筆者は強く願っています。パスワード管理ソフトの使い方が分からない人に対してもインストールから使い方までレクチャーしたことも何度もあります。
それほどまでにパスワードの使い回しのリスクは大きくなってきているのです。昨今の事件を知り、この記事を通じてご理解いただけると幸いです。
次回はパスワードの使い回しという弊害を生んでいるルールについて解説させていただきます。