今週のお題「私のおじいちゃん、おばあちゃん」
ようこそ(^^)/
お金を貯めることを通じて、人生を豊かに生きるヒントをアツく語る当サイトの管理人「ぱんぱんぱぱ」です。
さて、先日、楽天ポイントやビックカメラのポイントが、不正アクセスにより、IDやパスワードが盗まれて、ポイントが勝手に使われるという事件が発生しました。
今回の不正アクセス方法は、リスト型攻撃といい、以前流出したIDやパスワードをリスト化し、ポイント等を提供している企業のサーバーを攻撃し、パスワードを照合し、合致したIDからポイントを盗み取る方法です。
リスト型攻撃は、プログラムの脆弱性を攻撃する訳ではなく、パスワードを照合するだけなので、原始的な部類の不正アクセス方法といえます。
しかし、この攻撃は破壊的です。
その理由は、パスワードを使い回ししている人が圧倒的に多いからです。
この事件が報道され、管理人は真っ青になりました。
管理人もパスワードは、ほぼ使いまわししているからです。
特にネット証券2社(16企業株式)とネット銀行2社を開設しているので、ぞっとしました。
この2か月ほど所有している株式が軟調なので、嫌になってアクセスしていなかったからです。(株式は軟調の時は見ないのが一番です。)
神にもすがる思いで、ログインすると、資産はそのままでした。
アクセスの形跡もなく一安心でした。
直ちにパスワード変更しました。
パスワードは定期的に変えないといけないことはわかっていますが、人間そんなにもパスワードを覚えることは困難です。
しかし、リスト型攻撃が激化している現在、パスワードの定期変更は必須です。
不正アクセス攻撃から、大切な情報や資産を守るために簡単で強固でしかも忘れることのないパスワードの作り方を考えてみます。
- 1 人はいくつまでパスワードを覚えられるか?
- 2 安全なパスワード
- 3 簡単、強固、忘れないパスワード
- 3-1 手順1 基本パスワードの作成
- 3-2 手順2 カテゴリーのルール化
- 3-3 手順3 定期更新のルール化
- 3-4 手順4 パスワードが強固であることの確認作業
- 4 まとめ
1 人はいくつまでパスワードを覚えられるか?
現代社会は、すでにネットなしの生活はあり得ません。
個人を識別するパスワードはますます重要性は高まっていくことは間違いありません。
指紋認証は今一つですし、手のひらの静脈認証も今一つ広がりは見せていません。
管理人も、三菱東京UFJ銀行の手のひら静脈認証を一時使っていましたが、止めてしまいました。
新たに出るiphoneXの顔認証システムが普及するかどうかは試金石になりそうです。
Gigazineによれば、一人当たりの平均パスワード数は、27個だそうです。
本当にみなさんはどうやって管理しているのでしょうか?
管理人も、会社で使うパスワード、携帯やスマホで使うパスワード、パソコンで使うパスワード、タブレットパソコンで使うパスワード・・・うんざりします。
これに加えて、クレジットカードやリアル銀行のパスワードもあります。
このはてなブログもパスワードがなければ更新できません。
先日、少し更新を休んだ際、パスワードがないと入れないということに改めて気づき、ものすごく焦りました。
毎日更新していればパスワードは求められないので、すっかり忘れてしまっていました。
ブログ更新に必須の無料利用サイトのACやフォト蔵もパスワードが必要ですし、日経新聞や朝日新聞もパスワードが必要です。
私は、覚えやすいパスワードか、使い回ししないととても無理です。
2 安全なパスワード
現在安全とされるパスワードの長さは、最低でも8ケタは必要だそうです。
それも数字だけでなく、アルファベットと記号を組み合わせたものが理想だそうです。
また、もっと安全の確実性を高めると、12ケタは必要だそうです。
人間が覚えられる数字の数は、8ケタとされていて、意味のない数字を12ケタ覚えることは管理人には不可能です。
また、いたずらに8ケタ確保したから安全ではないそうです。
2016年に最もよく使われたパスワードのリストを目にして、私は首を横に振らずにはいられなかった。
自分のアカウントを「123456」というパスワードで保護しているユーザーが17%近くもいたからだ。
日経に2016年にアメリカで最もよく使われたパスワードワースト10が載っています。
アメリカ人もパスワードには苦労しているようで、なんと全体の16%が、123456のパスワードです。
この中の8位passwordは、実は管理人も、会社のメールのパスワードに使っています。
個々のファイルを暗号化するので、大丈夫だと思っていました。
3 簡単、強固、忘れないパスワード
さまざまなサイトでいろいろと推奨していますが、管理人にはどうもしっくりとは来ませんでした。
そこでいいとこどりしたパスワード形成法を考えてみました。
3-1 手順1 基本パスワードの作成
おそらくみなさんのよく使うパスワードは、アルファベット+数字の組み合わせにしていると思います。
アルファベットは本人の名前やあだ名、家族や友人やペット名にし、数字はメモリアルな数字にしているのが、一般的なパスワードではないでしょうか。
たとえば、穂香さんの大切な年月日が、11年11月05日であれば、honoka111105がパスワードとなり、とても覚えやすいです。
結婚記念日や告白日、学校の出席番号などもいいかと思います。
ただしこのままではリスト型攻撃で破られてしまうので、記号化の作業が必要です。
aを@に置き換えます。
oを0に置き換えるのもありです。
こうすれば、h0n0k@111105となり、とても強固なパスワードとなります。「なぜパスワードを記憶するべきではないのか」を簡単に説明したムービー - GIGAZINE
3-2 手順2 カテゴリーのルール化
次に、インターネットのカテゴリー別にルール化します。
自分なりのルールが必要になります。
楽天銀行であれば、末尾にrを加えます。(raでもrakでもいいです。)
ヤフーであれば、末尾にyを加えます。(yaでもyahでもいいです。)
3-3 手順3 定期更新のルール化
最後に定期的(四半期ごとが理想)に変更していきます。
末尾に1、2、3と加えていきます。
もちろん29-1、29-2でもいいし、20171、20172でもいいです。
ルール化して、今現在どのパスワードかわかるようなルール化です。
完成形です。
h0n0k@111105r1
これを、3か月に1回更新し、
h0n0k@111105r2
h0n0k@111105r3
としていけば、まず破られることはないと思います。
また、名前ではやはり不安と思うのであれば、文章にしてしまう手もありです。
lamahero=I am a hero
などとフレーズを入力し、後はカテゴリー別、ヴァージョン別に管理すればいい訳です。
ただし、パスワードは絶対にメモは取って保管しておきましょう。
ワードに自分なりにわかるようにベタ打ちして、暗号化しておくのもいいと思います。
3-4 手順4 パスワードが強固であることの確認作業
最後に自分の作ったパスワードの脆弱性を無料サイトで確認して終了です。
パスワード チェッカー: 強力なパスワードの使用 | Microsoft セーフティとセキュリティ センター
サンプルで形成したパスワードは、強と判定されました。(Ho!)
4 まとめ
いかがでしたか。
パスワードは、資産や個人情報を守るために欠かせません。
しっかりしたパスワードを作り、管理しておくことがネット社会の掟です。
今回の事件で、ネット社会は決して善意社会ではないということを改めて学びました。
まるで、資産を狙う地面師のような輩がうじゃうじゃいる世界です。
自分のことは自分自身で守らなければならないのが、ネット社会のルールです。
それでは