パスワードのバッドノウハウ

近年、パスワードの複雑化が要求されたり使いまわしを防ぐという必要が出始めています。

IPAさんも原宿駅に少女漫画のような広告も出したりとかして、重要性を訴えています。

そんなわけで検索すると「こうしたルールにするといいよ」という話が良く出てきます。

正直こうした記事もセキュリティを脅かすものとも考えられます。

悪意のあるユーザーなら、その記事を元にしてパスワードを突破しちゃう可能性があるので。

パスワード関係の記事についてはバッドノウハウ、或いはアンチパターンを教えるのなら有効かもしれません。

でもその逆は突破される危険もあるので教えたいけど教えられないのが現状な気がします。

なのでそのほかの手段を考えたいと思います。

以下は「使ってはいけないパスワード」の一覧と似たり寄ったりとはなります。

• password系
• 1234や0123の連番数字系
• 0101から1231まで、1983や2022の年月日系
• namaeTo1221といった単純組み合わせ系
• 最近バズっているワードやミームになっている有名な単語などをそのまま使っている系

もちろんこれ以外にもバッドノウハウはあります。

ただ挙げ過ぎるとセキュリティを脅かす危険があるのでこのぐらいに留めておきます。

ここでは「パスワードそのもの」ではなく、別の手段でセキュリティレベルを向上させる手段を書いておきます。

パスワードだけでは足りないってことで、他のツールも使う多要素認証が現状最善と思われます。

ログイン時にパスワードに加えて、電話を経由した認証用のパスコードを入力させるものとかがそれにあたります。

電話に限らず、自分の指紋とかの生体情報も用いたり、専用のデバイスを使う場合もあります。

Googleでは自分のスマホに電話がかかって来て、その番号を入力して初めてログインできます。

設定によってはログイン毎にかかるように設定できるので、身に覚えのないログインを検知することも可能となります。

もちろん番号はログイン毎に代わるので、傍受でもされない限りは突破は困難と言えるでしょう。

フィッシングサイトのよくある手口としては、ログインなどの画面が本物とほぼ同じようなレイアウトで情報を抜き取るというものです。

文字を入力した瞬間に情報が抜き取られていると考えてよいです。

もしログイン画面でカスタマイズが出来るのならカスタマイズした方が良いです。

程度の低いフィッシングサイトはそうした情報まで取得してないので、そこで見破ることも可能となります。

ただ場合によってはそれも似せてくる可能性もあるので、過信は禁物となります。

当たり前ですが、偽物のログインページにはアクセスしないが一番です。

遊びで入力しに行ったらスパイウェアなどのマルウェアにやられたとか洒落になりません。

フィッシングサイトの対策として、最近「お気に入り」が再び脚光を浴びています。

サービスの公式ページやログインページをブラウザのお気に入りに登録し、アクセスはそこを経由するというものです。

最近のフィッシングメールもURLを確認しても分からないことが増えていますし、近年は本物に近いような文で釣ろうとしています。

アクセスした偽物のログインページも巧妙なものになっており、本気で騙しにかかっています。

GoogleやYahoo!などの検索サイトを経由しても、フィッシング側がSEO対策で本物よりも先に検索結果に出させるような行為まで出てきます。

ローカルのお気に入りまでは基本的に悪さは届かないので、必要な分は登録しておきましょう。

アドオンなどでお気に入りを操作される可能性はありますが、バックアップとかも簡単に取れる時代なのでリスクはかなり下がります。

それも難しいなら、古の時代にあった「ブラウザのホームページ設定をローカルのHTMLページにして、そこでお気に入りをリンク集にして管理するツール」も使う必要も出るかもしれません。

ジンドゥーさんにもありますが、最近はシングルサインオン（SSO）という超便利機能があります。

平たく言えば「Googleなどのアカウントのままそのシステムを利用する」というものです。

（ログイン画面の「Googleでログインする」や「Yahoo!でログインする」がそれにあたります）

サービス毎にパスワードパターンを変えるやアカウント名が違う問題とかはこれで解決します。

無理ゲーと言われたパスワードゲームにおける救世主ともいえる存在なのかもしれません。

もちろん使用するアカウントのリスクはより高まってしまう欠点も存在しています。

どうしても分離したいものとかはSSOを使わず独立したアカウントを作る必要はあるでしょう。

社会人のマナー的なもので言われてそうですが、会社のものと個人のものは分離すべきです。

（会社によっては個人的な私用は厳禁とするルールもあるでしょうし）

また、SSOのアカウントはGoogleやYahoo!などが有効と思われます。

特にサービスが終了しにくいものであればリスクはかなり減少するでしょう。

どのアカウントも危殆化の関係で、いずれ破られてしまう可能性はあります。

この世に100%安全なセキュリティはないっていうのはある意味仕方のないことでもあります。

ということで、アカウントの権限を縛れるのなら縛っておきましょう。

このアカウントなら管理者権限のここまでしか触れないとか、そもそも管理者権限はやらんとか。

突破されても平民のようなアカウントなら被害も小さくなります。（0にはできないけど）

これはパスワード突破だけでなく、別の観点でも必須とも言える設定でもあります。

全rootだと誰もが自爆スイッチを押せてヤバイので今すぐ権限管理をすべきでしょう。

パスワードそのものを強化するのにも限界はありますし、人間がそれを覚えるのは無理ゲーです。

近年はどこから漏れ出すかわからないので、使いまわし0で完全固有でなければならないようです。

ただ、それらのパスワードを管理するツールはあるので、それを使うのも良いでしょう。

ツールによっては自動でパスワードを作り出すので、被る可能性も最小限にできます。

もちろんこれを使うと他の端末などからのログインは難しくなります。

そういう時もやはり二段階認証等の検討をすべきです。