ITりてらしぃのすゝめ:不正ログインどう防ぐ 最低限知っておきたいパスワード設定 (1/3)
身近なセキュリティをテーマに考えていくと、どうしても避けて通れないのが「パスワードとの付き合い方」です。正しい付き合い方として「使い回しをしない」「現時点で一番よいとされるパスワードの付け方を守る」「漏えいが発覚したらすぐに変更する」「他人には絶対に教えない」などルールがたくさんあります。
文字で見ると単純明快ですが、これを実践するのはとても面倒くさいモノで、「言うは易く行うは難し」です。
“健康で文化的な最低限度のパスワード生活”を目指すには、どうしたらいいのでしょうか。今回はそんな大多数の方のために、個人的に最低限ここまでやればよいはず、というラインを考えてみたいと思います。
まずは「悪い人」の思考をなぞる
その前に、パスワードをなぜ気を付けないといけないのかを、「悪い人」目線で考えたいと思います。悪い人から自分を守るには、相手の出方をほんの少しでも知っておくべきでしょう。
まず、私が悪い人なら、誰かのパスワードを類推し、IDを不正に乗っ取ることを考えます。Webサービスのシステムから、こちら側の顔や姿は見えませんから、IDとパスワードさえ分かればなりすませます。
そういえばほとんどのサービスのIDは「メールアドレス」です。ならば、メールアドレスを収集して、片っ端から123456やabcdef、qawsedrfなどの「弱いパスワード」を試せばいいでしょう。もしそれでログインできないのならば後回し。まずは簡単に突破できそうなアカウントを対象にしたいです。
もちろん、こんなことは思っても実行に移してはいけません(不正アクセス禁止法違反です)。ポイントは「簡単に突破できそうなアカウントからやられる」ということ。特定の人をターゲットにした場合でもなければ、より簡単に攻撃できるアカウントが対象になります。
そしてもう1つ重要なのは、ほとんどのIDが「メールアドレス」であるという事実。ここに最低限度のパスワード生活のヒントがあります。
「パスワードを覚えない」という方法もアリ?
実際のところ、「パスワードの使い回し」はもうやらない方がいいと思います。パスワードを使い回すことで、情報漏えいの被害にあったときの影響がいきなり大きくなり、同じパスワードを使う別のサービスに対してもパスワード変更を強いられることになります(が、多くの方はそこまで手が回らず、2次被害を受けることに……)。
なるべく、各サービスでパスワードを使い回さない、というのが原則です。
しかし、いま皆さんが利用しているサービスは20、30個では済まないでしょう。それを全て記憶を頼りに覚えるのは不可能です。ならば、もう「覚えない」というのも1つの手ではあります。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
- PR -
Special
- PR -
RANKING
ITmediaはアイティメディア株式会社の登録商標です。
