あなたのパスワード、大丈夫?
※このエントリーは、メールマガジン「スッキリ解説!パソコン・インターネット」のバックナンバーを編集したものです。
発行部数 11,145部
こんにちは!
「スッキリ解説!パソコン・インターネット」発行者の あべ です。
※プロフィールはこちら
⇒ グッドホープ代表・阿部辰也のプロフィール
今日も当メルマガを読んでくださってありがとうございます。
初めての方のために、簡単にこのメルマガの説明をさせて頂きますね。
「スッキリ解説!パソコン・インターネット」では、元SEで、現在はインターネット関連に特化したITコンサルタントをやっている私 あべ が、パソコン・インターネット関連のニュースや豆知識を初心者にもわかりやすく解説していきます。
もしあなたが初心者ではなく、中級者~上級者だとしても、楽しめる、あるいはためになる情報を発信できたらいいな、と考えています。
よろしくお願いします!
さて、前々回・前回と連続で、パソコンのセキュリティに関わるお話をしてきました。
詳しくはバックナンバーをご覧下さいね。
今回も、セキュリティ関連の話です。
セキュリティの基本中の基本「パスワード」について、解説していきたいと思います。
あなたのパスワード、大丈夫ですか?
パスワードは、あなたを守る唯一の鍵
パソコンを使ってインターネットを利用していると、様々な場面でパスワードが必要になりますよね。
例えば、
- インターネットに接続するためのプロバイダーのパスワード
- あなたが今読んでいるこのメルマガを受信したメールサーバーのパスワード
- ネットでよく買い物をする人なら、ショッピングサイトのパスワード
- オンライン銀行のパスワード
- 各種会員制サイトのパスワード
などなど……。
パスワードを求められる場面は、山のようにあります。
何故こんなに様々な場面でパスワードの入力が求められるのでしょうか。
簡単な話ですね。
顔も名前も見えないインターネット上で、あなたが「あなたである」と証明するための唯一の「鍵」となるのが、パスワードなのです。
逆に言うと、もしもあなたのパスワードを他の誰かに知られてしまったら、あなた以外の人が、インターネット上で「あなたとして」行動することができてしまうのです。
- あなた宛の個人的なメールを見られてしまう
- あなたの知らない間にネットで買い物をされてしまう
※当然、請求はあなたに来ます - あなたの銀行口座から勝手に別の口座にお金を振り込まれてしまう
- あなたになりすまして、コミュニティサイト等で不愉快な書き込みをされる
他にもいくらでもパスワード漏洩によって被る不利益は挙げられますよね。
パスワードクラックの手法
他人のパスワードを盗用するために解析し、探り当てることを「パスワードクラック」と言います。
インターネット上で、他人のパスワードを盗用するために、今もどこかで誰かがこの「パスワードクラック」を行なっています。
「パスワードの漏洩」なんて他人事だと思っている方は考えを改めて下さい。
世の中には、パスワードクラック用の自動ツールなんていうものも存在しますので、いつどこであなたのパスワードが破られるかわかりません。
ちなみに弊社のWebサーバーのログを見ると、頻繁に誰かがサーバー管理者のパスワードをクラックしようとしている痕跡が沢山残っています。
こういったログが見られる環境でない場合、自分のパスワードがクラックされようとしているかどうかさえ知ることができません。
あなたのパスワードも、あなたが知らないだけで、実は今この瞬間狙われているかもしれませんよ?
さて、この「パスワードクラック」。
どんな方法で行なわれているのでしょうか。
代表的な手法を幾つかご紹介しますね。
(1) ブルートフォースアタック(総当り攻撃)
その名の通り、パスワードを総当りで順番に試していく攻撃手法です。
ブルートフォース(blute force)とは、直訳すると「獣のような力」というような意味で、転じて「あまり知的とは言えない解決法」的な意味で使われます。
要するに、「単純な攻撃」ということですね。
とは言え総当りですので、対象がパスワードを変更しなければ、いつかはそのパスワードを解析されてしまいますね。
(2) ディクショナリーアタック(辞書攻撃)
こちらもその名の通り、辞書に載っているような単語を順番に試していく攻撃手法です。
前述のブルートフォースアタックよりも、効率良くパスワードを解析することができます。
その反面、パスワードが意味のない文字や記号の羅列の場合、漏洩を防ぐことができますね。
(3) スパイウェア
対象のパソコン内に、こっそり忍び込む危険なソフトです。
イメージとしては、相手に見つからないようにスパイを送り込んで、そのパソコン内の情報をスパイウェア作者の元に送る、という感じです。
様々なタイプのスパイウェアがありますが、「キーロガー」というキーボードの入力を監視するソフトが、パスワード盗用に悪用されるケースが多いようです。
パスワードやクレジットカード番号等の入力画面で、キーボードで入力された文字を監視し、その情報を作者に送るという恐ろしいソフトです。
対処としては、
- 配布元の不明な信頼できないソフトをダウンロードしない
- セキュリティソフトをインストールしておく
などがあります。
弱いパスワード
パスワードクラックの手法を幾つかご紹介しました。
スパイウェアはともかく、ブルートフォースアタック(総当り攻撃)や、ディクショナリーアタック(辞書攻撃)という手法が存在することを知れば、
「どんなパスワードが盗用されやすいのか」
すなわち「弱いパスワード」とはどういうものなのか、ということが、あなたにも何となくイメージできたのではないでしょうか?
下記のようなパスワードは「弱いパスワード」と言えるでしょう。
- IDやアカウント名とパスワードが全く同じ
- 自分や家族の生年月日をパスワードにしている
- パスワードを書いたメモや付箋をパソコンのディスプレイに貼ってある
- 意味のある単語や固有名詞をパスワードにしている
- パスワードの文字数が少ない(1~5桁程度)
- パスワードが英字のみ、または数字のみ
- 同じパスワードを様々なサービス全てで使っている
- 同じパスワードをずっと変更しないで使っている
最初の三点は総当り攻撃や、辞書攻撃とは関係ありませんが、「弱いパスワード」であるということは一目瞭然ですよね。
あなたが今、使っているパスワード。
思い当たる節はありませんか……?
強いパスワード
さて、それでは逆に「盗用されにくいパスワード」
つまり「強いパスワード」とはどんなものでしょうか。
- とにかくパスワードの文字数が長い(数百文字とか)
- しかも意味不明な文字の羅列である
- しかも英字大文字・英字小文字・数字・記号が混在している
- これらを、パソコンを使って利用しているサービス全てにおいて、それぞれ異なるパスワードにしておく
- さらに、毎日全てのパスワードを変更する
- 当然、これらのパスワードは紙に書いておいたりせずに、自分の頭で覚えておく
これらを守ることができれば、あなたのパスワードはまず盗用されないでしょう。
はい、わかっています。
そんなの無理ですよね(笑)。
下手をすれば、毎日パスワードの設定だけで一日が終わってしまいます。
というか、覚えられません(笑)。
利便性とセキュリティは、常に背中合わせです。
どちらか片方を追求すると、もう片方を犠牲にしてしまいます。
「危険だから」と言って、セキュリティだけを追求しても、便利なはずのパソコンやインターネットが全く使い物にならなくなってしまいます。
利便性とセキュリティの両方をバランス良く考えて、「管理はそんなに不便じゃないし、盗用もされにくい」というパスワードを設定するのが一番です。
あべ がお勧めするパスワード設定法
では実際に、私がお勧めする「利便性とセキュリティのバランスが良いパスワード」の設定法をここでご紹介しますね。
※ただし、ここでご紹介する方法でパスワードを設定されて、万が一盗用されても、私はもちろん何の責任も負えませんのでご了承くださいね(^^;
- まず、5文字(漢字を使わずに)程度の短文・単語を考えます
※あなたの名前などの固有名詞は避けた方が良いです
例)「ゆきがふる」 - その文章を、一音ずつ区切ってローマ字に変換します
例)「yu ki ga hu ru」 - 一音ずつ区切った最初の一文字ずつだけを残します
例)「y k g h r」 - 適当に、何文字か大文字にします
例)「YkGhR」 - 前後に適当に好きな数字を一つか二つずつ入れます
例)「01YkGhR22」
はい。
これで「比較的覚えやすくて盗用もされにくそうなパスワード」の完成です。
「ぜろいち ゆきがふる にーにー」とでも覚えておけば、大丈夫ですよね。
こんな感じで、パスワードを三種類くらい作ってください。
そして、現在あなたが利用している、パスワードが必要なサービスを以下の三段階に分類してみましょう。
- パスワードが盗用されると大きな被害の出る可能性のあるサービス
※お金関係や、機密情報・絶対に知られたくないプライバシー等 - できれば盗用されたくないが、万が一盗用されてもさほど大きな実害は出ないと思われるサービス
※自分の住所や電話番号等の個人情報 - 盗用されても大した問題のないものや、管理の甘そうな、あるいはちょっと胡散臭そうな(笑)サービス
分類が終わったら、それぞれに先ほど作ったパスワードを割り当てます。
※ただし(1)に割り当てるパスワードは、前述のものよりもう少し複雑にした方が良いです。
可能なら記号を混ぜるとか、数字を途中に混ぜるとか……。
こうしておけば、三つだけパスワードを覚えておけば、それなりに安全にパスワードを管理することができますね。
そしてこの三つのパスワードは、大体三ヶ月毎に変更するようにしておくのがお勧めです。
ただし、漏洩したらとにかくひたすらマズい!というレベルのものは、もっと複雑なパスワードにしておいた方が良いですよ!
あなたのパソコンのセキュリティは、自己責任で!
あべ のお勧めソフトウェア
今回は書籍ではなくソフトの紹介をしたいと思います。
比較的簡単にパスワードを管理する方法をご紹介しましたが、利用する全てのパスワードを自分で決定することができない、というケースもよくありますよね。
安全性の向上のため、システム側で決められた複雑なパスワードしか使えない、というようなサービスは多々あります。
そういった場合、なかなかそのパスワードを覚えるのは難しいですから、どこかにメモしておく必要も出てきますよね。
そういうケースでも、「付箋に書いてパソコンのディスプレイや近くの壁に貼っておく」というのは、あまりお勧めできません。
パソコン内に、パスワード管理用のフォルダを作って、その中に入れて管理しておく、という方法もあるのですが、それもあまり安全な方法とは言えません。
そういう時は、パスワード管理用のソフトを利用するのも一つの手です。
怖いスパイウェアやキーロガーも検出してくれますしね。
たくさんのIDやパスワード(プライバシーデータ)、Email、銀行口座情報などを、高度な暗号技術(AES256bit)で保護、管理。
ログインの際は自動で入力、スパイウェア、キーボードロガーを完全防御。
5000倍の強度を誇るマスターパスワードを設定すれば面倒なID&パスワード管理が簡単に、しかも安全に運用可能。
読者様からの質問
当メルマガの読者様から、今回の内容と少し関連するご質問を頂いたので、ご紹介しますね。
ヤフーとかグーグルでキーワードを入力して検索をクリックしますが、キーワードを何も入力しないでダブルクリックすると今まで検索した単語がズラーっと表示されます。
この検索のキーワードの履歴を消すことはできるのでしょうか?
もし出来るのでしたら、やり方を教えて下さい。
IE(インターネットエクスプローラー)には、こういった入力内容の履歴を保存しておく「オートコンプリート」という機能があります。
便利な機能なんですが、場合によっては色々と困るケースも出てきますよね。
履歴をそれぞれ単体で消したい場合は、
- キーワード入力欄をダブルクリックして単語を一覧表示する
- 消したい単語にカーソルを合わせて【Delete】(Del)キーを押す
これで一つずつ削除することができます。
また、履歴を一括で全て削除したい場合は、
インターネットエクスプローラー上部の「ツール」→「インターネットオプション」→「コンテンツ」→「オートコンプリート」と進んで、「フォームのクリア」を押すと、全履歴を削除することができます。
※削除した履歴は元に戻せませんのでご注意下さいね。
さらに、そもそも「履歴を保存しておきたくない」という場合は、
やはりインターネットエクスプローラー上部の「ツール」→「インターネットオプション」→「コンテンツ」→「オートコンプリート」と進んで、「オートコンプリートの使用目的」の「フォーム(F)」のチェックを外し、下部の「OK」をクリックすれば、それ以降の履歴は保存されなくなります。
また「オートコンプリート」機能でパスワードも保存できますが、これも複数人で共有しているパソコンの場合などは、他の人に勝手にログインされてしまう可能性もあるので厄介です。
保存されたパスワードを削除したい場合は、
インターネットエクスプローラー上部の「ツール」→「インターネットオプション」→「コンテンツ」→「オートコンプリート」と進んで、「パスワードのクリア」を押すと、全履歴を削除することができます。
また、そもそも「パスワードを保存しておきたくない」という場合は、
やはりインターネットエクスプローラー上部の「ツール」→「インターネットオプション」→「コンテンツ」→「オートコンプリート」と進んで、「オートコンプリートの使用目的」の「フォームのユーザー名およびパスワード(P)」のチェックを外し、下部の「OK」をクリックすれば、それ以降パスワードは保存されなくなります。
やはり、ここでも利便性とセキュリティは背中合わせですね。
ご質問や、ご意見ご感想は常時募集しています。
どうぞご遠慮なく、お問合せくださいね。
※このエントリーは、メールマガジン「スッキリ解説!パソコン・インターネット」のバックナンバーを編集したものです。
興味を持たれた方は、ぜひ下のフォームから購読して下さいね。
時々、メルマガでしか発信しない情報もあります。
カテゴリー :
スッキリ解説!パソコン・インターネット
前のエントリー: サクセスなにわ(株)様の講演会・SMIセミナーに参加
次のエントリー: 普段より一秒だけ長い元旦
トラックバック
http://goodhope.jp/ctrl/mt-tb.cgi/48