パスワード
ID とパスワード
ネットバンキング,ネットショップ,ネットオークション,オンラインゲームなど便利なオンラインサービスが多数存在します.また,最近ではブログや SNS,Twitter なども盛んです.会員になると無料でメールアドレスをもらえるサービスもあります. こうしたオンラインサービスでは,個人の識別に ID とパスワードが用いられています.ID とパスワードは,個人情報や財産を守るための大事な「鍵」になっています.大切な ID とパスワードを,悪意ある他者に奪われないよう(個人情報や財産を守るために),ID とパスワードを厳重に管理する必要があります.
ID とパスワードで認証(本人確認)を行うオンラインサービスでは,これらが他人の手に渡ると,さまざまな被害にあう恐れがああります.ID とパスワードを入手した人は、他人になりすましてそのサービスにログインし,本人と同様にふるまうことができるためです.
パスワードの盗難
パスワードの盗難原因には,次のようなものがあります.
- 盗み見
パスワードの記されたメモや手帳,あるいは携帯端末が盗み見られてパスワードが漏れる.複数のパスワードを管理するようになると,記憶だけには頼れなくなり何らかの記憶媒体を使うようになり,漏洩の危険性が増す.
- パスワードの推測
パスワードに生年月日や名前,住所,郵便番号などを使つている場合,個人情報が入手されるとパスワードが推測され易い.
- ショルダ・ハッキング
キーボード上の指の動きを肩越しに見てパスワードを読み取る方法である.例えば,キーボードの左上のキ一から斜め下に向かうキーをバスワードにするなど,キー配列を使つたパスワードは盗まれ易い.また,完全には見られていなくても,押したキーの数やキーのおおよその位置からパスワードを推定するヒントを与えることもある.
- ソーシャル・エンジニアリング
ユーザーをだまして直接あるいはメール等でパスワードを聞く方法である. システム管理者などパスワードを知つている人をだまして聞き出すこともある.また,ユーザーを装ってシステム管理者に新しいパスワードを発行してもらう手段もある..
- オート.コンプリート
ユーザーの使い勝手向上のために,メールソフトや Webブラウザなど多くのアプリケーションはパスワードをハードディスクの中に記録し,ユーザーが接続の度に打ち込まなくても自動で入力してくれる機能を備えている.目的のユーザー名を選択すると,そのユーザー名で以前使つたパスワードが読み出され選択される. 画面上は「*」で隠されているが,ツールを使えばこれを抜き出すことができる.ログイン状態で机を離れると,このツールでパスワードを盗まれる危険性がある.
- パスワード・リマインダを悪用
パスワード・リマインダはパスワードを忘れた場合に備え,質問と自分にしか分からない答えを登録しておくものである.多くのシステムでは,登録した質問に対して正解すると,バスワードを通知してくれたりその場で新しいパスワードに変更できる. 質問とその答えが安易であり,かつ個人情報が知られている場合,正解をある程度推測できてしまう.
- キーロガー
入力された文字をすべて記録しておくツールがキーロガーである.犯罪者は,ターゲットのパソコンにキーロガーを仕掛けておき,後日そのデータを回収する.キーロガーの中にはネットワーク経由でリアルタイムにデータを送信するものもある. ソフトウェアのキーロガーだけでなく,キーボード コネクタに装着してキーのログを内蔵のフラッシュ メモリに保存する八― ドウェアも存在する.
- ネットワークの盗聴
ネットワークの盗聴により,メールのパスワードなどが盗まれる可能性がある.メールサーバからメールを取り出す POP3 と呼ぶプロトコルではパスワードは暗号化されていない.また,暗号化されていない無線LANは格好の標的になる.
- バックァップデータの盗難
重要な情報が無くならないように,データを DVD などにバックアップしているケースは多い.これが盗まれることでパスワードが流出する可能性がある.システム管理者のマシンのバックアップ データにはユーザー名とパスワードの情報が入つている可能性が高い.ユーザー登録のバッチ処理のために暗号化されていない状態で入っている可能性もある.
- 廃棄コンピュータからの盗難
粗大ゴミとして破棄されたコンピュータのハードディスク内に残されたデータからパスワードなどの重要情報が漏れることがある.
強いパスワードを設定していても,その管理をしっかりしないと安全性は損なわれます.
- ID とパスワードを使い回さない
ID とパスワードを複数のサイトで使い回すことはしない. ID とパスワードをサイトごとに別々のものにしておけば,万一あるサイトの ID とパスワードが誰かの手に渡ってしまっても,なりすましがなされる恐れがあるのは,そのサイト一か所のみです. しかし,複数のサイトで同じ ID とパスワードを使い回していると,そのすべてのサイトでなりすましの被害にあう恐れがあります.
- サイトごとに異なるパスワードを設定
ID とパスワードの両方をサイトごとに異なるものにしておけばより安心ですが,オンラインサービスの中には,利用者のメールアドレスがそのまま ID になるものもあります.この場合,パスワードは必ずサイトごとに異なるものにします.
- パスワードの定期的な変更
パスワードを定期的に変更すると. 他人に知られてしまった ID とパスワードが長期間にわたって悪用され続けることを防ぐことができます. できれば 6か月ごと,最低でも 1年ごとにパスワードを変更することが望ましいと言えます.
- パスワードは他人に教えない
友人やオンラインサービスの管理人を名乗る人物からパスワードを尋ねられても,決して教えてはいけない. ID やパスワードをメモしてパソコンに貼り付けておいたり,パソコンの近くに放置しておいたりしてはいけない. また,「ユーザーアカウントの継続手続きをしてください」,「登録情報の更新が必要です」などという内容のメールは,ID やパスワード,個人情報を盗みとろうとする「フィッシング詐欺」を行う目的で送られているメールです.だまされないよう注意する.
- パスワード入力時の注意
自分の管理下にないコンピュータではパスワードを入力しないようにする. インターネットカフェ,共有システム,公共システム,空港ラウンジなどにあるコンピュータは,匿名のインターネットブラウズ以外の個人的な用途に使用するのは安全ではないと考えるべきです. このようなコンピュータを使用して,Web メール,チャットルーム,銀行残高,業務上のメールなど,ユーザー名とパスワードが必要なアカウントを確認するのは避けるべきです. キー入力の記録装置を犯罪者が設定している可能性がある.このような場合,悪意のあるユーザーは特定のコンピュータで入力された情報をすべてインターネット経由で入手できるようになる.
- パスワードの記録保管
パスワードを忘れたときのためにパスワードを記録する場合は,他人に見られないように十分に注意する.また,万一見られた時のために,生のパスワードをそのまま記録するのではなく,一部または全ての文字をあるルールに従って変形して記録する方法もある.例えば,i → 1,g → 8,a → @ などに変えて記録しておく.
パスワード管理ツールは,インターネット上で登録される多くの ID とパスワードを管理するツールです. インターネットを使用していると,多くのサイトで ID とパスワードの登録を求められますが,その数はインターネットを使えば使うほど増えていき,ID とパスワードの管理が煩雑になってきます.上記に述べたように,覚え易く安全なパスワードを設定したとしても,数が多くなると万一忘れた時のことも考え安全な場所に記録しておくことも必要になってきます.
このように煩雑になりがちなパスワード管理を安全かつ簡単に行うことを目的としたツールがパスワード管理ツールです. ID やパスワードの入力支援機能やパスワード自動生成機能など,パスワード管理に便利な様々な機能を備えているものもあります.「パスワード管理ツール」等で検索すると多くのツールが見つかります.