大学の授業にかかわる話題

授業日誌・キャリア・学びのスキルについて

パスワード管理法

2013年08月11日 14時27分23秒 | 学習支援・研究
パスワードは「共通化しない」
「長くする」


パスワードを突破されたり、
流出したパスワードリストを使って、
不正ログインされたりするトラブルが多発している。
より安全にパスワードを管理するコツ、
解析されにくいパスワードを作るコツを見てみよう。

使い回しが原因の「パスワードリスト攻撃」不正ログイン


同じパスワードを使っていたために
「パスワードリスト攻撃」によって不正ログインされてしまう
(IPAによるイメージ図)

今年の4月以降、パスワードを攻撃されて不正ログインされる被害が続出している。
たとえばYahoo!Japanでは、
5月下旬に100万件以上のパスワードと秘密の質問の流出が起き、
そこから派生したと思われる他社サービスへの不正ログインが起きている
(以前の記事『Yahoo!のパスワード流出、
実は「他サイトが危険」?』参照)。

この問題について、IPA・情報処理推進機構が
「全てのインターネットサービスで異なるパスワードを!
~多くのパスワードを安全に管理するための具体策~」
という呼びかけを出した。
流出したパスワードを基にして不正ログインする
「パスワードリスト攻撃」への対策だ。

パスワードリスト攻撃とは、悪意のある者が、
何らかの方法で事前に入手したIDとパスワードのリストを流用し、
不正ログインを試みる攻撃のこと。
たとえばYahoo!Japanで流出したID・パスワードのリストを、
自動ツールを使って他社のサービスへのログインに使うなどの手口だ。

この背景には、多くのユーザーが
「パスワードを使いまわしている」という問題がある
(IPAによるイメージ図参照)。
ネット上でログインが必要なサービスがあまりに多いため、
パスワードを覚えきれずに共通にしてしまう。
その結果、使いまわした共通パスワードが流出すると、
他のサービスでも不正ログインしてしまうという被害だ。

IPAによると、4月以降で各社が発表した不正ログインの成立件数は、約8万3,000件。
不正ログインの試行件数に対する割合は0.1~1%前後と小さいものの、
約8万3,000件もの不正ログインが成功している事実は見逃せない。

特に怖いのは、メールのパスワードが流出した場合だ。
ログインが必要な多くのサービスでは、
IDをメールアドレスにしている。
ユーザーがメールの読み書きに必要なパスワードを、
他のサービスでも使っていた場合は特に危険だ。
ID=メールアドレス、パスワード=メールの読み書きに使うパスワードと同じもの、
という組み合わせでは、流出した場合に不正ログインされる危険性がある。

すべてのサービスで別のパスワードに、リスト化して保持する

IPAでは、オンラインバンキングなどお金を扱う重要なパスワードは、
IDとパスワードを別々にして保持することを勧めている(IPAによる)

この攻撃への対策として、
IPA・情報処理推進機構では二つの呼びかけを行っている。
筆者の呼びかけと併せて紹介しよう。

1:IDとパスワードを別々にしてリスト化して保持する

まずはすべてのサービスで、
パスワードを別々のものに変更する。
すべて覚えることは不可能なので、
何らかの形でリストにして保持することになる。
IPAでは「紙のノートやメモ帳でもよいが、
リストが大きくなるとメンテナンスが大変なので
『パスワード付きの電子ファイル』として保持することを勧めます」としている。

具体的には
 ・表計算ソフトでIDとパスワードのリストを作成する。
  そのリストを、パスワード付きで保存する。
 ・表計算ソフトでIDとパスワードのリストを作成し、
  ファイル保存する。
  そのファイルを、パスワード付きで圧縮ファイル(zipなど)に変換する。
 ・「メモ帳」などでIDとパスワードのリストを作成し、
  テキストファイルとして保存する。そのファイルを、
  パスワード付きで圧縮ファイルに変換する。
などの方法がある。
いずれにしても『リストを作り、パスワード付きで保存する』ことが大切だと言えるだろう。
これが面倒な場合は、
3で紹介するパスワード管理ソフトを使うといいだろう。

2:重要なサービスは、IDとパスワードのリストを別々のファイルに分けて保持

インターネットバンキングのIDとパスワードなど、
お金に関わる重要なものは、
1のリスト管理に加えてIDとパスワードを別々に保持すること。
パソコンなどの紛失や、
ウイルス感染によるファイル流出のリスクを少しでも減らすためだろう。
具体的には右の写真のように、二つのファイルを作る形になる。

3:パスワード管理ソフトを使う

これはIPAによるものではなく、筆者の呼びかけだが、
リストを作るのが面倒な場合は、
パスワード管理ソフトを使うことを勧めたい。
大量にあるパスワードを、サービス別に管理でき、
かつ自動入力が可能なソフトだ。
また最近では、スマートフォンとも連携できるサービスがある。
パソコンとスマートフォンの両方で、
IDとパスワードを自動管理できるので便利だ。
有料の製品が主になるが、安全のために導入することを勧めたい。

辞書攻撃、総当たり攻撃などでパスワードを破られることも

これとは別に、短いパスワードやよく使う単語によるパスワードを解析されて、
不正ログインされるという被害も出ている。
流出したわけではなく、犯人側の解析・試行によって
パスワードを推定されて不正ログインされるというものだ。

たとえばパスワード辞書攻撃は、よく使われる単語をリストした辞書を基に、
ログインを試みるもの。
パスワードが短いと、高い確率で不正ログインされてしまう。

実はお恥ずかしい話だが、
筆者もこの手口だと思われる不正ログインの被害を受けている。
ツイッターのアカウントを乗っ取られて、
スパムを送信されてしまったのである。
原因と思われるのはパスワードの甘さだった。

筆者はツイッターのサブアカウントを持っており、
1年以上使わずに放置していた。
お恥ずかしい話だが、サブアカウントだからと適当に設定しており、
7桁のパスワードにしていた。
どうもこのパスワードが、犯人によって解析されたと思われる。
パスワードの桁数が少なかったことが原因ではないかと推定している。
セキュリティーを扱うライターにもかかわらず、
実にお恥ずかしい話である。

この反省から、パスワードをより強固にする方法を探っていたところ
「パスワードをより強くする方法」というブログ記事が発表された。
スロバキアのセキュリティー企業・ESET(イーセット)による
「How to create strong passwords (without driving yourself mad)
=イライラすることなくセキュリティー強度の高いパスワードを設定する方法(英文)」
という記事だ。
ESETは日本ではあまりなじみがないが、
動作が軽いと定評のあるウイルス対策ソフト
「NOD32アンチウイルス」や、
総合セキュリティーソフト「ESET Smart Security」などを出しているセキュリティー企業だ。

この記事では、セキュリティー強度の高いパスワードを使う方法をまとめている。
英文でのパスワードの記事だが、
日本人のパスワードにもあてはまるので一部を紹介しよう。

単語ではなく、文章にする
英語の1単語だけをパスワードにすることは
非常に危険なので、文章にする。
たとえば"dragon"を "dragonistired"(Dragon is tired.:ドラゴンは疲れている)にする。
あえて日本語の文章にする「Dragonwatukareteiru」といった方法もありだろう。

計算式を使う
記号が意味を持つ計算式を使用すると、
覚えやすく、安全なパスワードが作れる。
"1hundred+5=Threehundred"(100+5=300)のようなパスワードは、
長さ的には十分安全で、うまく数字や特殊文字を使っており、
また間違った計算にすることで逆に覚えやすくなる。

できるだけ長くすること。
パスワードでは複雑さより、長さのほうが重要だ。
できるだけ長くし、可能であれば数字や特殊文字を加えると、
犯罪者による解読作業を困難にする。

部分的にも名前は使用しない
サイバー犯罪者が使うプログラムは、
あなたの名前やユーザーネームの一部がパスワードに流用されていないか探している。
名前やメールアドレス、ユーザーネームは
パスワードに使わないこと。
同様に住所なども使わないほうがよい


図表:パスの管理

このように破られにくいパスワードを作る方法はいくつかある。
IPAの対策と併せて、夏休みを使ってパスワード総点検・リスト化を行おう。
(ITジャーナリスト・三上洋)

(2013年8月2日 読売新聞)

http://www.yomiuri.co.jp/net/security/goshinjyutsu/20130802-OYT8T00915.htmより

  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする