実は、パスワードを複雑にしても、同じパスワードを複数サービスで使っていると、危険です。
最近、「パスワードリスト攻撃」が増大中で、何らかの手段により盗んだパスワードを用いて、他のサービスも不正利用されます。この場合、いくらパスワードを複雑にしていても、役に立ちません。
同じパスワードを複数サービスで使っていると、この「パスワードリスト攻撃」に会う危険性が増します。
また、パソコンがウイルスに感染することでパスワードが漏えいしたり、メールで銀行などを名乗りパスワードを不正に入手したり、電話でクレジットカード会社とだましパスワードを入手したりと、パスワードを盗む攻撃は様々あります。
今回は、パスワードを守り、勝手にサービスを利用される危険を防ぐ方法を考えてみたいと思います。
■
■ パスワードを守り安全活用する13カ条
■
これから、ますます、インターネットのサービスを利用する機会が増えます。
パスワードを安全に活用することは、自分の貴重な情報やお金を守ることにつながります。特に、(1)~(5)は重要な内容ですので、注意下さい。
なお、(1)、(2)の詳しい内容は下記を参照下さい。
インターネット安全活用 一灯塾
http://lifesecurityup.blogspot.com/2015/07/blog-post_20.html
(1) 見破られにくいパスワードを使う
英字の小文字・大文字、数字、記号を混合させ、8桁以上のパスワードを使う。
(2) パスワードは人目に触れないよう十分注意して管理する
①紙のメモ(IDとパスワードは別々の紙に分けて管理する
②電子ファイル(パスワード付き)で保管する
③パスワード管理ソフトを利用する
(3) 同じパスワードを複数のサービスで使わない(パスワードリスト攻撃対策)
他のサービスで盗まれたパスワードを使って悪用される危険性が高まります。
(4) パスワードを定期的に変更する
知らないうちにパスワードがウイルスなどで流失し、悪用されている場合
があります。
(5) セキュリティ対策ソフトを使用し、ウイルスパターンを定期的に更新する(ウイルス対策)
ウイルスなどの不正ソフトやフィッシング詐欺で、パスワードが知らないうちに
流出するのを防ぎます。
(6) パスワードを強化する2段階認証を活用する
2段階認証を有効にすると、ログインに際し、パスワードに加えて
セキュリティコードの入力が必要になり、安全になります。
(7) 不特定多数の人が利用する所(インターネットカフェなど)ではパスワードを入力しない
パソコンにパスワードが残ると悪用され危険だし、このようなパソコンには
ウイルスが潜んでいる可能性があります。
(8) パスワードや機密情報を電話などで聞いてきたときは危険と考え無視する。
通常、このようなことを電話などで確認しません。無視しましょう!
(9) 個人情報を扱うサイトは”https://”と httpに”s”が付いていることを確認する。
銀行サイトや、アマゾンなどの個人情報を扱うオンラインショッピングでは、
必ず、”URL”は、 ”https://”と httpに”s”が付いていることを確認してください。
(10) 公衆無線LANで個人情報を使う場合も”https://”と httpに”s”が付いていることを確認する
公衆無線LANなど安全性が不明な場所でインターネットで個人情報を
使う場合も、URLが ”https://”となっていることを確認してください。
(11) パスワードや口座情報などを要求するメールは無視する
銀行などの企業は、顧客のパスワードや口座情報をメールで尋ねることは
ありません。このようなメールは無視してください。
(12)アカウント名・パスワード等の個人情報を要求するメールは無視する
システム変更でパスワード変更が必要と、不正なサイトに誘導してパスワード
を盗む詐欺があります。個人情報を要求するメールは無視して、メールの
URLを決してクリックしない。
(13)口座やクレジットカードの明細を定期的にチェックする。
どんなに注意しても、不正に利用されている場合があります。
クレジット・カードなどの明細は、おかしい金額が書かれていないか
チェックして、個人情報が盗まれたり、クレジットカード詐欺にあったり
していないか監視してください(不正な請求がないか確認)。
■
■ 不正に入手したパスワードを使う「パスワードリスト攻撃」
■
最近、よくあるインターネット攻撃に「パスワードリスト攻撃」があります。これは、何らかの手段により、インターネットのサービスやシステムから盗んだID・パスワードを用いて、他のサービスのログインを試みる攻撃手法です。
例えば、いつも使っているサービスAのパスワードを、他のサービスBでも使っていた場合、もし、サービスBのシステムからパスワードが盗まれた場合、サービスBばかりでなく、いつも使っていたサービスAも不正利用されます。
このように、複雑なパスワードであっても、同じパスワードを複数のサービスで使っていると、「パスワードリスト攻撃」で不正に利用される危険性が高まります。
サイトA~Cで、以下のように同じID・パスワードを使っていた場合、サイトAから盗まれたID・パスワードを使い、他のサイトB、サイトCに不正アクセスが可能になります。単純なことですが、意外に忘れがちな落とし穴です。
サイトA・・・ログイン ID=abc パスワード=xyz12345
サイトB・・・ログイン ID=abc パスワード=xyz12345
*サイトAとID・パスワードが同じ
サイトC・・・ログイン ID=abc パスワード=xyz12345
*サイトAとID・パスワードが同じ
■
■ 2段階認証とは
■
2段階認証を有効にすると、ログインに際し、パスワードに加えてセキュリティコードの入力が必要になり、安全になります。
ただし、導入は少々面倒なので、事前に手順をよく確認することが大事です。
次のブログに、GoogleとDropboxの”2段階認証”の方法をまとめていますので、興味がある方は、参考にして下さい。
Googleの”2段階認証”について
http://lifesecurityup.blogspot.com/2014/09/500google2.html
Dropboxの”2段階認証”について
http://lifesecurityup.blogspot.com/2014/10/dropboxid.html