ブログご訪問ありがとうございます。

パスワード管理のセキュリティ上のリスクについて

トレンドマイクロ社が10月5日に行った「パスワードの利用実態調査2017」の結果で、「複数のWebサービスでパスワードを重複して使いまわしているユーザー」が8割を超えていることが分かりました。前回調査時の2014年より8ポイント程度減少はしているはいえ、危険なパスワード管理の実態が明らかになりました。

■使い回しパスワードの危険性
使い回しパスワードの主因は、ユーザーが「パスワードを覚えられない」「メモしても無くしてしまう」などの理由があったようです。メモを取っていたとしても「パソコンにパスワードのメモを張り付けている」といった声を聞くこともあり、パスワード情報漏洩の危険認知の低さに問題があるようです。

パソコンにメモをつけている場合は論外な気はしますが、パスワードを他のWEBサービスと使いまわす場合についても、なぜ危険なのかを周知徹底されていないことが、管理自体を甘くしている原因かもしれません。実はオンラインサービスへの不正ログインを行う際、よくある手法として、ランダムにID/パスワードを試していく、「ブルートフォース攻撃」というものが存在します。簡単に言うと、任意のIDリストとパスワードの全通りを試してログインを試みる方法で、この方法だとログインの試行回数が多くなり、単純にパスワードの桁数が大きければ、成功する確率も減ります。一方で他のサイトなどから取得したID/パスワードを利用して攻撃をしかける「アカウントリスト攻撃」というものが存在し、標的型の不正ログインを行う手法としては試行回数も低いのが特徴です。「アカウントリスト攻撃」による被害は、ユーザー個々の意識によるものが大きく、危険性を認識しない結果、例えばクレジット情報などの大事な情報が奪われることにもつながりかねません。

こういった攻撃に対し、アナログな管理としてメモをこまめにとって保管することも良い方法ではありますが、メモは紛失や盗難が考えられます。やはり一番確実なのは、自分が覚えやすいアカウントを記憶するのが一番良い方法かもしれません。

弊社では以下の方法をお勧めしますので、参考までに掲載しておきます。

①ある特定のフレーズを決めて、数字などをはめ込む
例：はるはあけぼのに任意の数字を入れる⇒「haru7waYakebono4」
②複数パスワードを規則に従い変えてみる
例：①のharuwaakebonoというパスワードを使い回す。⇒「ake8waZharubono5」
※差し込みの数字などは一つ繰り上げていく。
③自分と結びつかないが忘れにくい情報で構成する
例：友達の誕生日2017年9月1日を挟む
Haruwa2017ake9bono1

他にも自分しか知りえない数字の羅列や、特定で使われる単語で構成していくのも工夫かもしれません。

まとめ
以下を守って管理を行いましょう。
・パスワードは英数大小文字などを入れ８桁以上で設定する。
・他のサービスで使ったものは使わないようにする。
・パスワードはメモなどでは無くなるべく覚えるようにする。
・パスワードの変更は一定期間で変更し、変更ルールも決めておく。