宅ふぁいる便の情報漏えい事件を受けて新しいパスワードに変更して回ったパスコーです。
パスワード変更はお済みですか?
宅ふぁいる便に以前利用したかもしれないパスワードはすでに誰かに知られています。
該当者は、変更しなきゃ二度と人前でセキュリティを語れない。
FacebookやTwitterなどが乗っ取り攻撃を受けた人も多い。
そんな人は今すぐパスワードをやめるべきだ。
今こそパスワードからパスフレーズにステップアップしてほしい。
パスワード・パスフレーズについて書きます。
- 改めて、パスワードとは
- 個人情報漏洩していいの?
- 単にパスワードを変えれば良いわけではない。一般的に知らていないものを考えよう。
- より強固にするにはパスフレーズ。キャッチフレーズを例にご説明。
- 簡単なパスフレーズの作り方
- 核となるパスフレーズは控えておく
改めて、パスワードとは
パスワードは英語に直すとpasswordですね。
pass(通る)ためのword(言葉)。
銀行のネットバンキングをするにもパスワードが必要ですしYahoo!メールやGmailを開くのもそうです。
Amazonや楽天などECサイトでショッピングするのにもパスワードが必要ですね。
企業だとクラウドのERPとかAWSのようなインフラにアクセスするのにもパスワードが必要ですね。
そもそも、PCやスマホを操作するためにもパスワード(PINコードや指でなぞるものも含める)が必要です。
今やパスワードなしでは生活は成り立ちません。
しかし逆に、パスワードが分かってしまうと、当たり前なのですがシステムのログイン画面というセキュリティをパス(=通過)できます。
今回、その大事な大事なパスワードが漏洩してしまいました。
メールアドレスと共に。
個人情報漏洩していいの?
いつも使っているメールアドレスとパスワードの組み合わせが分かってしまうと、今頭の中に思い浮かんだシステムに他人になりますましてログインできてしまうわけです。
例えばこんなことができます。
※AIBOは30万円。3030万円でリアル101匹ワンちゃん達成。
- 有料サービスに勝手に本登録してしまう
- FaceBookなどのSNSにログインして怪しげなURLをシェアしまくり親戚や友達がランサムウェアを感染させようとする
- 盗み取った個人情報を用いて、悪事を働こうとする
などです。
パスワードを変えていないとこういうリスクがある。
もちろん変えましたよね?という話。
金銭的な被害はもちろんのこと親戚や知人に迷惑がかかるとか、考えただけで恐ろしいですね。
現在、こういうことが起こりうる状況です。
だからパスワード変えようとお伝えしています。(総務省も推奨している)
単にパスワードを変えれば良いわけではない。一般的に知らていないものを考えよう。
パスワード、変えりゃ良いってものでもないのです。
1234から12345に変えても意味はないし、誰かがカンタンに推測できてしまうような変更も意味はない。
漏洩事件が発生しなくても突破されて被害に遭う確率大です。
例えば、世界的に脆弱だと言われているパスワードはこういったものがあります。
普段使っているものがランクインしていたりしませんか?
1位 :123456
2位 :password
3位 :123456789
4位 :12345678
5位 :12345
6位 :111111
7位 :1234567
8位 :sunshine
9位 :qwerty
10位:iloveyou
11位:princess
12位:admin
13位:welcome
14位:666666
15位:abc123
16位:football
17位:123123
18位:monkey
19位:654321
20位:!@$%^&*
P@ssw0rdのようにa→@、o→0にしただけの一般的な英単語もNG。
ワルイヒトにあっさり突破されます。
より強固にするにはパスフレーズ。キャッチフレーズを例にご説明。
最近はパスフレーズという考え方にレベルアップしていきましょうというのが当たり前になりつつあります。
パスフレーズとはpass + phrase(句、成句)です。
句ってなんだ?と思ってしまいますが簡単です。
句というのは単語の集まりです。
パスワードとパスフレーズの違いは単語の数。
パスワードはpass + word(1単語)なので1単語で構成されているパスワードを複数の単語で構成される句にするというものがパスフレーズです。
フレーズというと、キャッチフレーズと言えば身近な存在。
例としてわかりやすいのは、企業のキャッチフレーズです。
このように、言葉(word)の組み合わせたものをフレーズと考えパスワードからパスフレーズにレベルアップするということがアメリカの政府機関でもあるNIST(アメリカ国立標準技術研究所)においても電子認証におけるガイドラインという文書の中で推奨されている。
簡単なパスフレーズの作り方
難しく書いたが、パスフーズの作り方は簡単。
変更前:pasuko ・・・6文字パスワード
変更後:ilovepasukoverymuch・・・19文字パスフレーズ
もう少し上のレベルにすることもできます。
利用するサービス名を後ろにつけて個別のパスワードにするというものです。
ilovepasukoverymuchhatenablog・・・29文字パスフレーズ
1文字増えるごとに解読するハードルが上がります。
悪意を持ったユーザーがパスワード認証を突破する
ハードルが上がるということになります。
つまり他人になりすまされるセキュリティリスクが下がります。
個別のサービスごとのパスフレーズを作るかどうかという議論もありますがまずはパスワードから、核となるパスフレーズを作ることが最重要です。
上の例ではpasukoにi love と very muchを前後につけましたがもう少し一般的でない言葉を使うことで、更に強固なパスフレーズにすることができます。
やってみましょう。
GSX1300RpasukoGSF400
GSF400は前の愛車スズキのイナズマ400を示します。
知るかよ!って思いますよね。
だからこそパスフレーズとして適している。
しかし私は忘れることはありません。
そういうものがパスフレーズとして適しています。
自分にしか思いつかない文字列の作成をしよう。
そして、それが出来たらすぐ大切な情報を預けているサービスのパスワードをパスフレーズにレベルアップして情報を悪の手から守りましょう。
核となるパスフレーズは控えておく
核となるパスフレーズは決して忘れてはいけない。
人に教えることも、もちろん許されない。
今、アナログだがメモ帳に控えることの重要性が見直されている。
仕事関連のパスフレーズを書くことも多いのでいつも持ち歩ける小さなものに記載しておくと便利です。
手帳のようにデスクの上に置いておくと、見られてしまうリスクがあるので、専用のメモを準備するのが良いと言われている。
自分の大切な情報を守れるのは自分だけだ。
守りたいならばパスワードからパスフレーズにレベルアップさせましょう。
では。