本当は怖いパスワードの話・・・これすごく大事、パスワードの使い回しがダメな理由。


みなさんはパスワードをどのように管理してますか。
スマホの時代になって多くのことをデジタルで管理するようになってきて、パスワードもどんどん増えてきてますよね。
頭で覚えれる範囲の簡単なパスワードを使いまわしていませんか。これがこれが大問題
僕もいろんなサービスを利用する中、どんどんとアカウントが増えてきて管理するのも大変。
ですが、ここ数年はパスワードはサービスによって全て別のものにするようにしています。
サービスの中にはお金のやり取りにも関わるようなものも多くなってきて、もし不正にアクセスがあるようなものならお金に関わってくるという重要な問題です。
でもなかなかそういうことは実際に乗っ取られたりとかしないと、その重要さに気づかないとは思うんですが、アカウントを守るためにパスワードの管理について書きたいと思います。

パスワードはできるだけ難しくしておく

皆さんパスワードはどのようなものにしてますか?
今ではもうないと思いますが数字だけのパスワードとか自分の知ってる単語とかそういったものは非常に危険です。
それについては以前こちらの記事でも紹介してるんですが、
あなたのパスワードは安全ですか?パスワードとセキュリティの大切な話。
まずは単純にパスワードを破られないことを意識してパスワードを決めておきましょう。

推測しにくいランダムな文字列、そしてパターンを広げるためには大文字や小文字数字記号など全て駆使してできるだけ長いパスワードを作る。
でもこうなってくるともう覚えるとかできないですよね、なのでパスワードを管理するアプリを使ったり自分なりのパスワードの管理の方法を作っておかないといけない。
自分の場合はある場所に一括管理しています。
パスワード管理で有名なところでは、
最も安全なパスワードマネージャー | 1Password
これとかいいですね。
管理する場所はできるだけ厳重に。
自分しか見れないデバイスに入れておくとか、クラウドのどこかに入れて二段階認証などを使って堅牢にしておくとか。
とにかく、ほかの人が見れない堅牢なところで管理してください。

パスワードの使いまわしは絶対してはいけない!

ここが一番言いたいところ、パスワードの使いまわしは絶対してはいけないのです。
そのパスワードなんですけれどもしっかり難しい長いパスワードをやっていたとしても破られてしまう可能性が無いとは言えない。
たまたま当てられる可能性は少なくても、企業によって情報漏洩してしまうことだってありますからね。それはどうしようもない。
情報漏洩しないよう企業として対策をするというのはもちろんですが、それはあなたとは別の話。
企業に預けていた個人情報が何らかの形で流出してしまうことがあるのは。日ごろニュースを見ているとわかると思います。
もし仮にそうなったとしても大丈夫なように対策しておかないといけない。

アカウント情報(IDとパスワードのセット)が万一ばれてしまったら、悪い奴がそのアカウントに入って色々と悪さをしていきます。
たいていはログインされたらすぐにパスワードを変更されて、被害者が気づいて入ろうと思ったら入れない。
ごたごたとしている間に好き放題使われてしまうという恐ろしい状態に。
最近しっかりしたサービスでは、新しい環境でログインされた場合には登録している自分のメールアドレス等に通知が来ます。
第三者が不正アクセスをした時などにすぐにわかるようになっています。
僕も恐ろしいことに、僕がログインしてないのに全然違うところで誰かによってログインされようとした形跡がありました。
楽しい休日だったけれど、メールで通知が来てぞっとしましたよ。
二段階認証もしてたしおそらくログインまではできなかったと思います、すぐさまパスワードを変えて、特に被害らしきものはなかったので良かったですが。
二段階認証をしていてログインはされませんでしたが、二段階認証の画面に進めたことでIDとパスワードは合っていることは悪い奴にはばれちゃってます。
なので、すぐにパスワードは変えておきましょう。

実は、ここで気を付けないといけないのが今からの大事な話。
みなさん、パスワードの使い回ししてませんか。
たいていはIDとパスワードはセットでアカウントを作ると思いますけど、IDがメールアドレスになってることって結構あります。
IDがメールアドレスになってると、IDを覚えなくていいので楽は楽なんですが、メールアドレスなのですぐにばれます。
で、たいていはメインとして使っているメールアドレスって1つだと思うので、どのアカウントサービスでも同じメールアドレスを使っているということになると思います。
で、次にパスワード。
サービスごとにパスワードを変えると覚え切れないのですべてのサービスで同じパスワードを使っているという人いませんか。
実はこのパスワード1つを使い回すっていうことがむちゃくちゃ危険なことなんです。

IDはメールアドレスなので簡単にばれる、何らかの原因でパスワードもばれてしまった。
その瞬間、あなたの使っているサービスの全てが標的になります。
こういった不正を行う人はバカではありません、あなたよりセキュリティに詳しい。
おそらくあなたが使っているであろうサービスにどんどん仕掛けていきます。
Amazonとか楽天とか、クラウド系ストレージとか。
勝手に買い物されるわ、重要なファイルは盗まれるわと被害は甚大。
パスワードは全部変えられて入れないので、電話で問い合わせて本人確認してなんてしている間にもあらゆるサービスに入られていきます。
まさに問題はここで、パスワードを使いまわしていると、それがばれた瞬間に様々なサービスに入れてしまうということです。

セキュリティの弱いところから狙われる

例えばすべてのIDとパスワードが同じにしている人がいたとしますね。
それぞれのサービスではいろいろなセキュリティーレベルがあって、パスワード3回ミスったらロックされるとかのサービスも存在します。
そういったものはパスワードも何度でも試せるわけではないのでそれなりに難しいパスワードがあれば守ることができると思います。
サービスによっては、連続した不正なアクセスがあれば何らかの連絡をくれるところもあるでしょう、
問題はそこではなく、その辺の誰が作ったかわからないようなサービスのパスワードまでも一緒にしてしまってることがあるということです。
つまり、そういったセキュリティーレベルの低いサービスでパスワードの解読を試すわけです。
セキュリティの甘いサービスは、何度でもパスワードを試すことができたり、それに対する対応もされていない場合が多い。
それを利用して、何度もパスワードをトライして総アタックで見つけるわけです。
そして、そのIDとパスワードを使って、皆さんが使っている別の重要なサービスにログインを仕掛ける。
こうやって主要なサービスに対してログインされてしまうっていう事ですね。
むちゃくちゃ怖いですよね、でセキュリティーに甘い人と言うのはおそらくこの時点で何が起こってるのかわからないと思います。
単純に、Amazonのアカウントが漏洩したと思いますが、実はそうではなくて別のところでばれてしまってそれを使ってログインされたのです。

パスワードが破られたときに皆さん1番初めに思いつくのは、その破られたサービスのパスワードを変更するっていうことだと思います。
確かにそれは大切なんですが、問題はここからで、あなたがよく使うIDとパスワードがばれてしまったということなので、同じIDとパスワードを使っているサービス全てに対してパスワードを変更する必要があります。
もし、使いまわしをしていなければ、少なくともここで被害が止まるわけです。

このように、パスワードを使い回すということは非常に危険です。
できる対策としてはすべてのサービスでパスワードを変えるということ。
そんなのめんどくさいと思いますが、それをやらないということはこれらののリスクがあるということです。
面倒ですが、パスワードは頭で覚えておくのではなく、難しいパスワードでそれぞれ別のものに、そしてそれをしっかりと管理して使うようにしましょう。