メインコンテンツへスキップ
  1. 記事一覧(旧)/

マツモ式 パスワード作成のルール

セキュリティー
⚠️

⚠️

この記事は移行作業中です。レイアウトが崩れる場合があります。

目次

 

この記事は完全に個人的な意見であり、参考文献0件の頼りない記事です。

安全性に関する問題 があれば指摘をお願いします。

 

とあるD社が不正アクセスを受けた件によって、私のパスワードが流出した。

不幸にも、流出したパスワードは使い回しをしていたクソガキ時代のもので、現在は使っていないアカウントがほとんどだが数が半端じゃない。

んで、いろいろ見直したのでそのルールの紹介。

 

パスワードの流出確認 #

まず、現状を把握する。

https://haveibeenpwned.com/

パスワードの流出確認といえばココ。

自分のメールアドレスを入力すれば、パスワードが流出しているかチェックできる。

結果が緑なら問題なし。

赤なら問題あり。

少し下に流出元が書かれている。

ちなみにチェックしている情報源はサイトで紹介されている。

https://haveibeenpwned.com/PwnedWebsites/

 

 

パスワード管理ルール #

・覚えなければならないパスワードは限りなく減らす。 私の場合はGoogleアカウントと共有PCのパスワードくらい…

・覚えずパスワード管理ツールを利用する。 スマホが使える環境であるなら覚えなくてよし。 パスワードはブラウザに記憶しておく。(共有端末を除く)

 

パスワードの作成ルール #

**・パスワードは大文字・小文字・数字・記号で作る。 **

ブルートフォースアタック(総当たり攻撃)対策。

パスワードに様々な種類の文字を使うと、単純に考えられるパスワードの組数を増やすことができる。最近は推奨されなくなったなんて言われているが、組数は確実に増える。

記号は最低1文字含める、ただし無理に全種類を含ませる必要はない。全種類を含むパターンに固定すると、この文字は含まれないというパターンが減る。何が含まれていて何が含まれていないのか分からないようにしておく。

 

・パスワードはなるべく長くする。

ブルートフォースアタック(総当たり攻撃)対策。

パスワードの長さは基本100文字、上限がある場合はその上限の長さ。

組み合わせは指数関数的に増えていくので、1文字長くするだけでもパスワードの組数を恐ろしいほど増やすことができる。 大文字・小文字・数字の計62文字で考えてみる。

1文字の場合:62の1乗=62組 2文字の場合:62の2乗=3844組 3文字の場合:62の3乗=約24万組 … 10文字の場合:62の10乗=約84京組 11文字の場合:62の100乗=約5200京組

10文字から11文字にするだけで約5100京組も増える。 100文字だと無量大数を余裕で超える。

 

・同じパスワードは使い回さない。

リスト型攻撃対策。

攻撃者は流出したパスワードを辞書に登録し、他のサイトで不正アクセスを試みる際に利用する。この攻撃手法をリスト型攻撃という。IDとパスワードが組み合わせになったリストはその辺りのtorrentで数百万個、数億個単位で流れている。

流出元以外のサイトで不正アクセスされることがある(体験談)。

このルールを守らなければ、どれほど強力なパスワードを作成しても全く意味がない。

 

・パスワードは定期的に変更する。

リスト型攻撃対策。

現代では嫌われているパスワード管理ルール。あらゆる団体・個人がパスワード変更に否定的になっている。

ただ、パスワードが流出した場合、その旨をユーザーに知らされるのは流出直後とは限らない(体験談)。数ヶ月、数年経たないと気づかない企業もある。また、そのサービスではなく、他の要因(ウイルス・偽サイト等)で流出した場合は、その旨を知らせてくれる人は居ない。

とはいえ、大量のアカウントを所持していると、すべてのアカウントのパスワードを変更するのは到底不可能なので、お金が関係しているサービスや絶対に失いたくないアカウントだけを対象に行う。

 

・2段階認証を利用する。

不正アクセス対策。

2段階認証とは、通常のパスワード認証を行った後に、専用スマホアプリ・SMSなどで受け取ったコードを入力して本人確認を行う機能。これを設定しておけば、パスワードが流出しても不正アクセスを防ぐことができる。さらに、他のサービスと異なるパスワードであれば、実害は全く無い。

アプリケーションを用いた2段階認証の代表的なものとして「Authy」などが挙げられる。対応しているサービスであれば、設定欄に「2段階認証」「2ファクタ認証」「2FA」「2factor」などの項目があるはず。

 

・パスワードは自分で決めない。

規則的なパスワード作成の防止。

人間は完全にランダムな値を生成するのが苦手で、適当にキーボードを打っても、頭の中で適当な文字を作っても、何かしらの法則に近くなるらしい。なので、パスワード生成ツールを使う。

「パスワードジェネレータ」や「パスワード生成ツール」と調べると、いくつかヒットする。私は個人が作ったツールや生成時に通信を必要とするものは、安全性に難がありそうで使いたくないので、色々なサイトを巡って確認する。

個人的なオススメサイト https://1password.com/jp/password-generator/ https://www.lastpass.com/ja/password-generator/

 

・パスワードはアプリ管理。

上記のルールに従ってパスワードを作成すると、当たり前だが超人でない限り覚えられない。覚えるとなると、パスワードの使い回しをしないという初歩的な対策でさえ難しい。そこでアプリ管理を行い、必要なときに確認するようにする。

 

パスワード管理 #

パスワード管理アプリは「1Password」など数多くあるが、ほとんどが有料で手を出しにくい。

そこで、Googleアカウント、Google Chromeで全てのパスワードを管理する。

 

管理する準備

1.Googleアカウントのセキュリティーを万全にする。

Googleアカウントセキュリティー設定: https://myaccount.google.com/security

パスワードを管理しているアカウントが乗っ取られたらこの世の終わり。以下の対策は最低限行う。

・パスワードを覚えられる限りで長く複雑なものにする。

・2段階認証プロセスを利用する。

・再設定用の電話番号を登録する。

・再設定用のメールアドレスを登録する。

 

2.Google ChromeにGoogleアカウントでログインする。

パスワードの登録や閲覧を行うデバイス(PCやスマホ)でログインする。

共有端末はもちろんNG。

 

3.パスワードを登録する。

サイトにログインする際に、「パスワードを保存」もしくは「パスワードを更新」する項目が表示されるので保存・更新をする。

表示されない場合はログイン後にアドレスバー右端の鍵マークをクリックすると表示される。

 

パスワードのコピー・閲覧

ブラウザでログインしようとすれば自動で入力されるが、他のブラウザで使いたいとき、パスワードを見て確認したいときが恐らくある。

その場合はChromeの設定画面の「自動入力」に「パスワード」という項目があるので、そこで確認する。