IT

パスワード管理アプリ 情報漏洩からの守り方

こんにちわ、さくさくといいます。

サラリーマンをしながら自分自身にとって豊かな生活を送る為の勉強をしています。

今回はパソコンやスマホで利用するパスワードを一元管理することで、パスワードの使いまわしによる情報漏洩(じょうほうろうえい)を防止することをテーマに話を進めていきたいと思います。

パスワードの重複がどのくらい危険か

今回の話の肝になる部分の考え方ですが、インターネット上の複数のサイトで同様のパスワードを利用していること(いわゆるパスワードの使いまわし)が行われていると思います。

インターネット環境において、ログインIDは登録者が忘れないようにメールアドレスと連動することが多いですが、複数のサイトで同じIDとパスワードの組み合わせによってアクセスすることができて利用者本人とすれば利便性は高いの状況を生んでいます。

同じパスワードにしていると、どんな危険があるんですか?

インターネット上の悪い人に悪用される可能性が高くなるんだよ

しかしながら、世の中の悪い人たちは、この事実に付け込んで攻撃をしてくることがあるようです。もっともメジャーな攻撃手法のアカウントリスト攻撃について見ていきましょう。

アカウントリスト攻撃について

一般にいくつかの名称で呼ばれているアカウントリスト攻撃(「パスワードリスト攻撃」、「リスト型アカウントハッキング」ともいう)ですが、複数のサイトで同じパスワードを利用しているとその情報が何らかの形で登録サイトから漏洩したとします。

その情報をもとに、一般によく利用されていそうなサイトに対して、IDとパスワードの組み合わせで一斉にログインを試みるのです。(詳しい絵は以下サイトを参照)

そうすると、一部のIDでログインできてしまうことがあります。

生徒
生徒
不味いですね。いつも同じパスワードを使っていました。

それはよくないね。今すぐ対策を打つ必要があるね。いつどのサイトから漏洩するかわからないから早めの対策を打っていこう。
先生
先生


パスワードが同じであるがために、自分が過去・現在で利用してきているサイトで情報漏洩するとこのような問題が起きるのです。漏洩した情報をもって2次被害が発生することもしばしばあるので、パスワード運用の対策が必要です。

最近の2次被害情報としてこちらを紹介しておきます。


どのようにして楽にパスワードを考え運用するか

パスワードの使いまわしの被害が出てからでは、遅いので対策をとっていく必要があるのですが、パスワードの運用はとても大変なので、どうにか楽に利用できる機能が必要になってきます。具体的には、

  • 複雑なパスワードを自動で作ってくれる機能
  • 利用するサイトのパスワードが他のサイトと重複していないことを確認できる機能
  • パスワード利用者が覚えやすい。もしくは、すぐに参照できる機能。

これらの機能を有するツールで、私自身が使いまわしのパスワードが危険と感じていた時に探して知ったツールで一番利用しやすいかったものが「1password」です。

複雑なパスワードを自動で作ってくれる機能

ブラウザで操作する際に利用できる機能ですが、任意のパスワードを自動生成してくれる機能があります。

他サイトとPWが重複していないことを確認する機能

製品が自分の利用するサイトのパスワードを管理してくれるだけではなく、パスワード自体の脆弱性(よわさ)を評価してくれるます。

パスワードは、更新を自動反映する機能も持っているので、定期的な変更も便利に対応することができます。

パスワード利用者が覚えやすい。もしくは、すぐに参照できる機能。

この機能そのものは「1password」にはないのですが、もっと便利で機能的なパスワード自動入力機能が備わっています。

以下のような手順に従って操作すると、登録されているIDとパスワードが自動入力されるようになります。

まとめ

パスワードの使いまわしによるリスクに対して便利な管理ツールを利用することで安心してインターネットやネットショッピングなどが楽しめることになるのではないでしょうか。

「1password」は有償のツールで月額500円程度(年契約は割引あり)なので、安心に対するコストとしては割安なのかなと思っています。一か月間の無料お試し期間もあるので、気になった方は是非ご利用ください。

最後に、、

パスワード管理ツールを利用し始めた頃によくやった失敗について、お話しておきます。

パスワード管理ツールと利用するサイトは必ず情報を同期しておく必要があるのですが、パスワード生成を自動で行い、パスワードを利用サイトでセットすることを急ぐあまり、管理ツールへの登録を忘れたり、登録したパスワードをコピーした状態で別の文字をコピーしてしまい、パスワード自体が分からなくなり、利用サイトでパスワードの再発行をするといったことをよくやっていました。

利用予定の方は、是非お気を付けください。