ずばり、パスワード管理はツールに任せましょう。
ユーザーIDとパスワードが必要なWebサイトを中心としたサービスがここまで増えてくると、サイト毎に別々のパスワードを人手で管理することは現実的ではありません。
✓危険なパスワードとは
まず、危険なパスワードとはどういうものかを改めて認識したいところです。
いわゆるハッカー、不正アクセスをする人達は、「パスワード生成プログラム」というものを持っています。
これでパスワードを生成しながら、総当たり攻撃(ブルートフォース)をかけてきて、突破を図ろうとします。
例として、今は効率が悪いので使われていないと思いますが、分かりやす説明するために単純な仕組みをご紹介します。
それは、パスワードに許容されている文字や記号の全ての組み合わせを生成するというものです。
例えば、4桁のパスワードで、許容されている文字が英数字のみとします。
すると、文字の種類は62文字になります。(大文字小文字を区別した場合)
そうすると、パスワードの組み合わせは、62の4乗で、14776336です。
つまり、ハッカーからすると、1千4百万通り以上のログイン作業が必要になります。
これが1桁増やして、5桁のパスワードになると、62の5乗で、916,132,832です。
一気に、9億1600万通り以上に激増します。
コンピュータの性能は年々上がりますが、桁を増やされると守る側、攻める側はイタチごっこになります。
そこでハッカー側もより巧妙になり、合理的にパスワードを類推するプログラムが開発しました。
例えば、英単語の組み合わせとか、よくある英語のフレーズとか、それに数字を組み合わせるとかでパスワードを生成します。
つまり、このハッカーのプログラムにかかると、パスワードを1ワードの英単語にしていると、簡単に突破される理由はここにあります。
そして、2ワードでも繋いでいるだけだと結構危ないです。
2000語×2000語なら4,000,000ですから、400万通りぐらいなら今のコンピューターなら楽勝で対応できます。
さらに、これに、ハッキングターゲットの誕生日などの数字、電話番号の下4桁などの情報がわかっていれば、これを組み合わせることで更に精度があがり、突破される可能性が高まります。
こういうのが、今の時代では、危険なパスワード、類推されやすいパスワードと言われます。
こういったハッカーのプログラムが使われて、無制限にログインを許しているサイトは攻撃されます。
例えば、WordPressサイトをそのまま運用しているような場合がこれに当たります。
WordPressは、「サイトURL+wp-admin」というURLでログイン画面が表示されます。
そして、一昔前ですと、ほとんどのユーザー名で「admin」が使われていたのでさらに危険でした。
ただ、最近のログインが必要なWebサイトは、総当たり攻撃には防御を施しているのでリスクは低いです。
何度か、ログインに失敗すると何分かロックをかけて、プログラムによる総当たり攻撃ができなくなるようにしてあります。
ちなみに、WordPressも総当たり攻撃を禁止する方法はいくつもありますので、やっていない人はすぐにやった方がいいです。
✓突破された場合に起きる問題とは
自分や自社のWebサイトがハッカーにより突破されるとどういった問題が起きるのでしょうか?
例えば、WordPressサイトに侵入されても、相当売上げの大きい大規模なシステムでもない限りは金銭的な被害は大きくないはずです。
愉快犯によってサイトを破壊されるなどのケースがあっても、ほとんどのケースでバックアップがあれば復元・リストアすれば元にもどります。
もちろん、無駄な仕事が増えるのはしゃくに障りますが、被害としてはこの程度です。
ただ、実際には、ハッカーがサイトを乗っ取る目的は、そのサイト破壊という彼らに取って価値の低い目的はほとんどありません。
あくまでも、もっと大きな被害を起こしたいという自己欲求を満たす行為のためにします。
そのため、突破したサイトを”踏み台”にして、そのサイトを使って他のサイトを攻撃するのに使います。
これをやられてあなたのサイトが他のサイトに迷惑をかけると、「これは自分のせいではない」と言い張っても突破されたあなたの責任になります。
なぜなら、自分のサイトの管理不行きだからです、仮に裁判になったら負ける可能性も高いです。
つまり、自分のサイトが突破されることを甘く考えてはいけません。
ところで、今、ドコモ口座の問題で少々メディアが騒いでいますが、お金を取られるケースは思っているほどリスクは高くありません。
数十万円レベルの被害はあっても、何百、何千万という被害は仕組み上まずありえないのです。
また、何十万レベルの被害は、金融機関が保険に入っていることが多く、また世間体もあるためほとんど返ってくると考えていいと思います。
だからといって、あまりにいい加減な管理をしていると逆に責任を追及される可能性もあります。
✓強力なパスワードの作り方
では、ハッカーに突破されないようなパスワードはどのように作ればいいのでしょうか?
その前に、大前提として、パスワードで、一番いけないのが使い回しです。
今は、ユーザー名・IDがメールアドレスになっているサイトが多いので、パスワードが漏れてしまうと、有名所のサイトで使われて一網打尽にハッキングされる可能性があります。
そして、今となっては、強力なパスワードは、8桁を超える桁数が必要で、要件として大文字、小文字の組み合わせ、数字や記号が必要なケースもあるため、自分で作るのは現実的ではありません。
そこで、ツールを使って作るのが現実的な方法です。
結論としては、パスワード管理プログラムというのを使うのが現実的な運用方法になります。
ただし、このパスワード管理プログラムへのパスワードは必要になります。
逆に言えば、これ以外のパスワードは、ツールを使って自動生成するべきで、覚える必要もないと思います。
これだけWeb上で使っているサービスが増えてくると、すべて異なるパスワードにすることも、それを覚えるのも、メモにして残すのも困難です。
パスワード管理プログラムについては、具体的には、ブラウザのChrome, 使っているPCがMacならiCloudキーチェーン、有名なツールですと1Passwordなどのアプリがあります。
そして、この管理プログラムに使うパスワードは非常に重要になります。
このパスワードだけは、絶対に漏れてはいけないパスワードになります。
逆に言えば、これをしっかり管理することに集中すればいいことになります。
このパスワードを作るときに使ってはいけないフレーズの代表は、自分の名前、生年月日、電話番号などです。
また、以前から使っている使い回しのパスワードもだめです。
強力なパスワードの作り方に付いては、突き詰めると切りがないですし、絶対安全な方法もありません。
そこで、そこそこ安全な妥協案として、個人的なオススメな方法をご紹介します。
以前何かのサイトで読んだ方法ですが、自分の目標を英語フレーズにしてそれをパスワードにする方法です。
これですと覚えやすいですし、パスワード入力の度に目標を意識するため目標も実現しやすいという話で、私はこれを実践しています。
目標をフレーズにすれば、他者からの類推はほぼ不可能です。
また、フレーズにすると、文字数も長くなりパスワードの強度も自然と上がります。
例えば、こんな感じです
人気漫画のワンピースのルフィーのセリフ
「海賊王に俺はなる」
I’m gonna be king of the pirates
このフレーズのカンマやスペースを詰めてパスワードにする訳です。
(もちろん、このフレーズは有名すぎるので使わない方がいいです)
さらに、大文字を組み合わせたり、途中の英字を数字に変えたりすると更に強力になります。
例えば、forなら「4」、 toなら「2」とかです。
✓パスワードの管理の仕方
さて、パスワード管理プログラムで何を使うかですが、私の結論としては、1Passwordというアプリです。
ただし、有料です。
次点としては、無料で使えることもあり、ブラウザのChrome、Macの方ならiCloudキーチェーンがあります。
ただし、それぞれに問題があります。
Chromeの場合は、Webサイトにしか適用できません。
つまり、iPhoneのアプリなどに入れるログイン情報は管理できません。
一方、iCloudキーチェーンの場合は、iPhoneのアプリにも使えます。
ただし、MacではブラウザにSafariを使う必要があります。
Macユーザーで、ブラウザはSafariでOKの人なら、iCloud キーチェーンがいいと思います。
1Passwordが良いのは、どのブラウザでも使えて、iPhoneのアプリにも使えるからです。
ブラウザは、Chrome、スマホのアプリでも使いたい場合は、1Password以外には選択肢はないような気がします。
ただし、有料でサブスクです。
セコくやるなら、WebサイトはChromeで管理、アプリはキーチェーンで管理という2重管理です。
ただ、二重管理ほど合理性に欠ける管理方法はないので、この方法は絶対にオススメしません。
