Stop!パスワード使い回し!キャンペーン2019
JPCERTが「Stop!パスワード使い回し!キャンペーン2019」を実施しています。インターネットのサイトを通じた個人情報の漏洩事故は,なかなか根絶されません。1箇所のサイトの情報が漏洩した場合,そこのサイトのパスワードを別のサイトでも使っている(パスワードを使い回している)と,別のサイトへのログオンもされてしまい,被害が拡大してしまいます。情報漏洩させたサイトに損害を申し立てても,十分な補償を得ることも難しいですし,パスワードを使い回していたためにログオンされてしまった場合は,自分のパスワードの管理が悪かったことになってしまいます。
パスワードでの個人認証の限界は昔から言われていますが,ようやくGoogleなどの大手が二段階認証を始めた程度になっていて,多くのサイトはパスワード認証のままです。もはや,サービス提供者側にセキュリティの強化を求めるだけではダメで,自分のパスワードは自分で守らなくてはいけないです。そのための第一歩がパスワードの使い回しをやめることです。
JPCERTの「Stop!パスワード使い回し!キャンペーン2019」を見ると,安全なパスワードの設定の方法が書かれています。
英数字記号のパスワードの安全性
今でも,パスワードは「英数字の大文字小文字および記号を入れる」ことと言った制限を課しているところがあります。でも,情報理論的には「複雑な短いパスワード」よりも,「覚えやすいけれど長いパスワード」の方が安全だとされています。パスワードは複雑な方がいいという定説!?を作った人が自ら「大文字も小文字も記号も意味がなかった」と発言しています。こちらのサイトで紹介していますので,合わせて読んでください。
安全なパスワードの条件
JPCERTでは安全なパスワードの条件として,次の4つをあげています。
・パスワードの文字列は、長めにする(12文字以上を推奨)
・インターネットサービスで利用できる様々な文字種(大小英字、数字、記号)を組み合わせると、より強固になる
・推測されやすい単語、生年月日、数字、キーボードの配列順などの単純な文字の並びやログインIDは避ける
・他のサービスで使用しているパスワードは使用しない
当たり前のことしか書いてないです。この当たり前のことをやることで自分を守ることが出来るんですね。
どうやってパスワードを覚えておくか
とは言っても,何十箇所もあるサイトのパスワードを全部覚えておくことはできないですよね。そんな時は,自分の端末にまとめて保存して,使うときにコピペして使えばいいです。
例えばPCの場合は,サイト名,ID,パスワードをテキストファイルに書き出して,それを暗号化して保存しておきます。パスワードを使う時は,テキストファイルを開いて必要な部分をコピーして,ブラウザのパスワード入力欄にペーストすればOKです。パスワードを使い回すより,自分のPCに暗号化して置いておいた方が遥かに安全です。自分のPCがマルウェアなどに感染しないように注意することは必要です。マルウェア感染予防は,パスワードをPCに保管していなくても必要ですね。
スマホなどの場合は,パスワード管理アプリを使ってしまえばとても楽です。
パスワード漏洩で困るのは自分です。自分の身は自分で守ることをやっておく必要があると思います。