安全なパスワード管理について
概要
サービスを受けたりするときに、パスワードだけで判別することはありません。
必ず、誰であるかを表すIDなどと紐付けられています。
つまり、IDとパスワードを組み合わせて1つのものなのです。その1つのものはそこに登録したあなた自身を表します。
IDは会員番号であったり、メールアドレスだったりします。これは名前と同じで他人に知られるものです。氏名には同姓同名が存在しますが、IDには重複はありません。必ずその人だけのものです。
IDを他人と共有することは、その人が自分と同じ扱いを受けるということです。IDはみんなに知られるものであるため、他人によるなりすましが可能です。それを本人であることを確認して保証するのがパスワードです。
そのため、IDとパスワードの組み合わせは絶対に他人に知られてはなりません。
パスワードだけでは役に立たない文字列でしかありません。どこで(提供されているサービス)、誰(ID)のパスワードなのかが同時に必要な情報です。
他人によるなりすましを防止するために、IDとパスワードの管理には気をつける必要があります。
安全なパスワードを考える
単純な数字や英単語は一番危険なパスワード
とても危険なパスワードは数字のみや英単語のみです。
- 0000
- 1234
- 9876
- apple
- password
- sky
といったものです。
単語のような意味は無いですがqwer配列も危険です。
キーボードの左から順にみると入力しやすい、
- qwert
- asdfg
- zxcvb
などです。
こういったパスワードは、コンピューターで順番にアタックを試すと簡単に突破できてしまいます。
日本語によるローマ字は日本人をターゲットにされると弱い
日本語のローマ字単語は英語主体のハッカーからは標的にされにくいです。
- ringo
- sora
- pasuwa-do
apple|sky|password と同じですが、日本語を知らないとコンピュータによる解析対象の単語として認識されません。
それでも、日本人を標的にしている場合は英単語と同じようにとても危険性が高くなります。
英単語を逆順にするのは意外に低いセキュリティ
単語を逆順に入力するというのも、解析対象になりやすいです。
- apple → elppa
- password → drowssap
- sky → yks
手打ちで入力するのは難しいですが、コンピュータによってパスワードのアタックを試す場合は単語を逆順にという命令を追加すれ済むことなので、自分で入力するのが面倒になるだけで、パスワード強度は日本語ローマ字を使うよりも低いものとなります。
完全なランダムが一番強いセキュリティ
適当に1文字ずつ作られた完全にランダムなパスワードが一番安全ですが、これでは自分で管理するのも難しくなってしまいます。
- yde46jud
- wccs0omp
- hej0z1zr
といったものです。
ランダムなパスワードであっても、同じものを使い回したら危険性は一気に上がります。
どこかで盗むことができれば、別の場所でもそのパスワードが使えてしまうためです。
自分が使いやすく他人には推測されないパスワード
そこで自分には管理しやすく、他人には推測できないパスワードを考える必要があります。
自分にとってはランダムではないが、他人にとってはランダムの場合と変わらないというものです。
自分で管理しやすいパスワードは単純で分かりやすく法則性が必要です。
パスワードは、数字のみや単語のみは破られやすいですが、単語+数字になると急激に強くなります。単語+数字+記号になるともっと強固になります。
まず、パスワードを使う目的の場所に合わせてグループを作ります。
- ネットショッピング系:netsp
- net shoppingを短縮した文字列です。単語としての意味はありませんが自分では分かりやすいのがポイントです。
- ゲームサイト系:netg
- net gameでもよいのですが文字数が増えて面倒になる上に解析がされやすい単語になってしまうので途中で省略。
- 銀行系:netbk
- 同様にnet bankを短縮。
これが大雑把なグループ分けです。
次にサイト毎の文字を付け足します。
ネットショッピングの
- 楽天:netspraku
- Yahoo:netspyah
- ソフマップ:netspsm
といった感じにできます。netsprakuは種類のnetsp(ネットショッピング系)にrakuten(楽天)を合わせています。
更に強固にしたい場合は、登録年や月を2文字追加します。
- 楽天:netspraku12
- パスワードを変更する場合は変更した年や月に数字を変えるだけです。
それぐらいはすぐに推測されると思いますが、盗んだパスワードを推測して変更して試すという面倒なことをする人はあまりいません。その人のパスワードは使えないものとして諦めて、次の人のパスワードに進んだ方が楽だからです。
特定の個人を狙い撃ちにしている場合は別ですが、そうでない場合は楽に盗めるところを優先して狙います。
楽天:netspraku12
のパスワードを盗んだだけでは、次のパスワードがどうなったのか推測できないのが現実です。自分は12を13に変えただけかもしれませんが、01に変わったのかもしれませんし、パスワード全部を変えたのかもしれません。それはどのパスワードがアタリなのかを1つ1つ試すことになってしまうのです。
記号を加えるとコンピュータ解析にも強い
記号も付け足します
- 楽天:netsp\raku12
- 文字を区切る形で記号を挿入すると自分にとっては分かりやすくなります。記号を含めるとコンピューターによる解析がとても難しく(時間が掛かる)なり、安全性が高くなります。
これで、他人が無差別にパスワードをアタックさせることがとても難しくなりました。
法則性があるので自分では管理しやすいです。
記号を追加する場合、使う記号はすべて同じでもパスワードの強度にはほとんど影響しません。記号以外の文字が違うからです。
同じ法則性によって作られた同じ人によるパスワードを複数盗まなければ、これらのパスワードを解析するのはほぼ不可能です。
これが自分には分かりやすく、他人には推測できないパスワードになります。
これらはあくまでも一例です。多くの人が同じ文字列を使うとそれは英単語を使っているのと同じ危険性になります。自分用の1文字を追加するだけでもセキュリティー強度が高くなります。
IDとパスワードの組み合わせを安全に管理する
リアルでのノートに記録する
サービス名とIDとパスワードを、ネットワークから盗むことができない場所に記録して管理します。
1行毎に
楽天 ID パスワード
ヤフー ID パスワード
と記入していきます。
問題は、パスワードの変更がやりにくいです。斜線で消して
楽天 ID パスワード 新しいパスワード
と記述したり、1行毎ではなくパスワード用に数行確保するという方法があります。
ネットから盗まれることがありませんが、リアルに覗かれる可能性があります。PCから入力する場合は直接キーボードから一文字ずつ打ち込む必要があるのでキーロガー(コンピューターウイルスの種類)により入力文字からパスワードを盗まれる可能性があります。
暗号化USBメモリにテキストファイルで管理する
やや高価ですが安全な上に管理しやすいのが暗号化ドライブです。
テキストファイルであれば小容量のUSBメモリで十分ですが、強制ハードウェア暗号化の製品を選びます。
暗号化にはソフトウェア暗号化とハードウェア暗号化があります。
ソフトウェア暗号化はアプリがファイルを暗号化して記録します。CPU性能によってはとても時間がかかります。暗号化されているとはいえ、ファイルを盗んでじっくりと解析することができてしまいます。
ハードウェア暗号化ではそこからファイルを盗み取ることができません。なので解析もできません。ファイルを開いているときはメモリ上に呼び出されているので、この時だけは普通に危険性があります。
画面に表示させているときは、画面をキャプチャしたり覗いて盗むことが可能です。これはリアルのノートで管理しているときと同じです。ただ、ネットワークに繋がったコンピュータの場合、表示している画面をキャプチャして盗むというコンピューターウイルスが存在します。
テキストファイルの中身はノートに記入するのと同じように入力して管理しますが、削除や更新が楽なのでもっといろいろ記述しても大丈夫です。
サービス名 ID パスワード 登録したメールアドレス URL 登録日 パスワードの変更日
区切りはスペースではなくタブ(TAB)をおすすめします。
テキストファイルではなく、ExcelやID・パスワード管理ソフトでも構いません。
テキストファイルの場合は確認したいときに簡単に開くことができるのがメリットです。
目的のサービスで、テキストファイルから文字列をコピーして貼り付ければ入力の手間も省けます。コピー&貼り付けで入力する場合はキーロガーは感染していても機能しません。コピーはメモリ上に一時記憶されるため、メモリを解析されるとコピーした文字列が盗まれる可能性があります。
BUFFALOの暗号化USBメモリ
筆者が愛用しているのはBUFFALOのセキュリティUSBメモリです。
PCのインターネットセキュリティーにはKaspersky(カスペルスキー)を愛用しているのでウイルスチェック機能は無し、自分のみで使うため管理ソフトにも対応しないハードウェア暗号化のみで低価格なRUF2-HSCLシリーズです。
グループで管理して使う場合は管理ソフト対応モデル、ネットカフェや他人のPCに繋げる予定があるのならばウイルスチェック機能モデルを選ぶ必要があります。家族共有のPCで個人用のデータ保存に使う場合はそれらに対応していなくも問題ありません。
セキュリティーUSBメモリは、USBメモリとして使うためにパスワード認証が必要です。つまり、暗号化USBメモリを使うためのパスワードは別に記録が必要です。そういった機器のパスワード管理はリアルのノートに記録したり、スマートフォンなどにメモしておくと分かりやすいです。誰かにメモを見られても、どこで使うパスワードなのかが分からなければ無害です。
USBメモリにパスワードを書いたシールを貼り付けていたのではパスワードの意味がありません。自分以外がそのパスワードを使うことができてしまいます。パスワードはそれが必要なものとは別に記録するのが基本です。
ATMカードでも暗証番号をカードにペンで書き込んでいたら駄目なのと同じことです。盗んだ人が簡単にパスワードが分かってしまうような記録方法はやめましょう。
自分専用のPCで毎回パスワード入力が面倒な場合には、そのPCをオートログインに登録すればパスワードの入力不要で楽に使うことができます。その場合、そのPCと一緒にUSBメモリが盗まれてしまうと暗号化の意味がありません。持ち歩くノートPC等ではオートログインに登録しないことをおすすめします。
USBメモリ内のファイルにショートカットを置いて素早く開きたい場合、USBメモリのドライブレターが接続の度に変わってしまうと正しい場所にアクセスできずに不便です。 そんな時は該当する製品紹介の『ドライバー/ファームウェア』へ行き、『ドライブレター変更/シリアル番号表示 ツール』を使い、ドライブレターを固定することで使いやすくなります。
RoboFormで楽々入力
ロボフォームではブラウザのログイン情報やWindowsダイアログのパスワード入力や、住所やカード情報などを暗号化して管理することができます。
ブラウザのログイン情報では、ブラウザで目的のサービスで入力した後にロボフォームで保存をすれば、次回からはロボフォームから楽にログインすることができます。
ログインに必要なIDとパスワードをキーボードから入力する必要がありません。そのため、キーボードの入力からパスワードなどを盗み出すキーロガーと呼ばれるコンピュータウイルスに対しても安全になります。
ロボフォームはブラウザの標準機能でのフォームデータの保存と自動記入よりも安全です。また、ブラウザに依存する場合は異なるブラウザでは別々に入力が必要ですが、ロボフォームでは対応しているブラウザで同じデータを扱うことができます。
ロボフォームのライセンスの種類
- RoboForm Everywhere(エブリウェア)
- 年間更新のライセンスです。アカウント毎のライセンスになりますが、複数のPCやスマートフォンで同期して同じデータを扱うことができます。一人の人物が複数の端末を使うときに選びます。2GoのようにUSBメモリーで使うこともできます。初めての購入(1年目)では割引がされています。
- RoboForm Desktop(デスクトップ)
- 1台のPCで使えるライセンスです。1台のPCであれば複数のアカウント(プロファイル)を使い分けることができます。複数の人物が同じPCを使う場合に選びます。
- RoboForm 2Go(USBメモリ)
- 1台のUSBメモリにインストールできるライセンスです。複数のPCに接続して使うことができます。PCにはインストールや記録は行わないため、共有のPCを安全に使いたい場合に選びます。インストールしたUSBメモリはロボフォーム専用になるわけではなく普通に使うことができます。
- RoboForm Free Trial(無料版/試用版)
- インストールして30日間はフル機能を使用することができます。その後は無料版としてログイン帳の保存が10件までに制限されます。
現在のロボフォームのバージョンは7です。エブリウェアは1年間の更新ライセンスで最新のバージョンを使うことができます。デスクトップやUSBメモリは期限関係無く使うことができますが、新しいOSや新しいブラウザに対応させるために新しいバージョンのロボフォームの購入が必要になる場合があります。
円高の場合はPaypal決済でUSD支払いを選択するとお買い得です。
ロボフォームデスクトップは日本円での支払いでは\3500ですが、USドル支払いの場合は$29.95です。1$が85円計算になる場合(手数料により実際の為替相場よりは数円高くなります)は2546円となり、1000円近く安くなることがあります。直接クレジットカードでのUSD決済の場合はカード会社により、数日間の為替変動や高い手数料が加わりますので、相手への支払いはPaypal扱い(相手へはPaypalからUSドルで支払い)で、こちらの支払い(Paypalへの支払いは日本円)はクレジットカードを使うのが安心です。Paypalを仲介することで、日本のクレジットカード情報が取引先に漏れないので安心です。
・ロボフォーム7のよくある質問
・Paypal(日本語)公式サイト
Roboform(ロボフォーム)でできること
- パスワードの作成
- ランダムでアルファベット、数字、記号を使ったパスワードを生成します。使える記号の有無や桁数の指定も可能です。
- ログイン情報の保存
- サイトごとに入力が必要なログインIDとパスワードなどを記憶して管理することができます。複数のIDを使い分けている場合もそれぞれ管理することができます。Webサイトのフォーム入力だけでなく、Windowsアプリケーションのダイアログも管理することができます。
- ログイン情報の自動記入
- キーボードから入力しなくてもロボフォームの管理データから自動で入力して楽にログインすることができます。入力と送信をまとめて実行することもできます。サイトごとに別々のパスワードにしても入力は迷わず楽に行えます。同じサイトで複数のアカウントを所持している場合には、ログインしたいアカウントを選択して入力することができます。ブラウザのオートコンプリート機能による自動保存と自動入力に近い使いやすさです。
- 個人情報の管理
- 住所やクレジットカードなども必要に応じて楽に入力することができます。フォームの作りにより正しく入力されない場合があるので十分に確認してから送信する必要があります。この機能を活用すれば、セキュリティーが不安なサイトで個人情報を保存する必要がなくなります。
- 高いセキュリティー機能
- ロボフォームのデータは暗号化して保存されるため、ファイルが盗み取られても中のデータを盗むことができません。暗号化方式はDES、3DES、AES、Bowfish、RC6から選ぶことができるので、暗号を解析するのがとても難しくなっています。ロボフォームのデータを開くにはマスターパスワードの入力が必要ですが、WBFやUPEKの指紋認証機器にも対応しています。
- 使い方に合わせた利便性
- パスワードか指紋で認証を行わないとロボフォームのデータを使うことができませんが、ロボフォームへのログイン情報を記憶している間は再認証不要で楽に使うことができます。セキュリティにより、自動でログオフする時間や状況は任意に変更することができます。自分で使うときは楽に、他人には盗まれにくく、利便性とセキュリティーのバランスは使い方に合わせて変更が可能です。
- 役に立たない場合もある
- ロボフォームが便利になるのはロボフォームから自動で入力できる場面とロボフォームよる安全な管理にあります。ゲーム画面やアプリケーションの内部画面での入力では直接自動記入させることができません。その場合でもロボフォームからコピーして貼り付けることで入力の手間を省くことができますが、ログイン情報をすべてコピーと貼り付けで行うと、コピーの履歴から盗まれてしまう可能性があります。また、貼り付けもできない場面では、直接キーボードから入力する必要があります。
・ロボフォーム: 安全にしかも簡単にあなたのパスワードを管理 ライセンス購入もこちら
偽のアドレスに騙されない
IDやパスワードや取り引き用の暗証番号等を盗み出すのに偽の用意した場所に送信させるフィッシング詐欺があります。誰かが釣られて入力してしまうのを待っているのです。
アドレス(URL)が偽であるため、ブラウザのオートコンプリートやロボフォームなどの自動記入が機能しません。自動記入されるように登録しているのに記入されない場合は、そこが正しいアドレスであるか確認してから入力や再登録する必要があります。
巧妙な手口になると、ブラウザに表示されるアドレスは正しいもので、偽のアドレスが表示されない方法で入力を要求する場合もあります。
通常、ID、パスワード、取り引き用の暗証番号など、まとめて確認を要求することはありません。ログインするときはIDとパスワードのみ、その他の確認はログインしてから行われるのが基本です。
こういったうっかり騙されやすい詐欺の手口はインターネットセキュリティーで保護されることが多いですので、信頼のあるインターネットセキュリティーソフトを導入しましょう。安価なアンチウイルスのみのソフトではPCへのウイルスからは保護されますが、インターネット上のセキュリティーは保護されないことに注意してください。
希にアンチウイルスソフトをウイルスソフトと呼ぶ人がいますが、それではウイルスから保護するのではなくウイルス自身という逆の意味になってしまうので注意。
また、あまり役に立たずに不具合ばかり起こしやすい作りの悪いセキュリティーソフトや、盗むことが目的の偽のセキュリティーソフト(実態はスパイウェアとウイルスのプログラム)が存在します。ネット上でウイルスに感染していますと表示して偽の駆除を実行させる詐欺も存在しています。信頼のあるセキュリティーに頼り、偽の情報に惑わされないことが必要です。
筆者のおすすめのセキュリティーソフトは、Norton(ノートン)、Kaspersky(カスペルスキー)、ESET(イーセット)です。筆者はカスペルスキーを愛用しています。
偽のメールに騙されない
フィッシング詐欺に誘導する方法に偽のメール(スパムメール)があります。偽のメールに惑わされないために振り分け機能を活用しましょう。
送信元のメールアドレスで振り分けを行うと、メールアドレスが異なる偽のメールは正しい場所に振り分けられないため、偽者であることに気づきやすくなります。
お店の広告メールをスパムメールとしている人がいますが、正式なメールなのでスパムと同じに扱うことはおすすめしません。大切なメールに気づけないことや、スパムの判断が曖昧になるため本来のスパムに騙されやすくなってしまいます。
不要なメールは面倒でも登録解除を申請するか、スパムとは別の振り分けで登録しましょう。
日本語の迷惑メールに強いShuriken
ジャストシステムのShurikenというメールソフトでは、日本語の迷惑メールの負担を減らす学習型の迷惑メールフィルターを搭載しています。
学習が進めば出会い系や不審なセールスも的確にスパムとして振り分けてくれるのでとても便利です。
Shuriken2012ではフォルダウォッチとアテンション機能で大切なメールを素早く確認することができます。
カラーバリエーションは複数用意されています。
メールアカウントを複数使い分ける
メールが多い場合、目的ごとにメールアドレスを分けると便利になります。
例えば、楽天用のアカウントを作成して、楽天関係のメールはすべてこのアカウントに登録します。フォルダの振り分けは「ショッピング履歴」にして振り分けのルールに「[差出人]が[order@rakuten.co.jp]を含む」と「 [見出し]が商品についてのご案内 または お買い上げありがとう または...」と登録すると、購入確認メールや発送メールなどを見過ごすことがなくなります。
必要なメールを素早く確認できるというのは、第三者に悪用された場合もメールで気づきやすいということです。
通常、メールアカウントはプロバイダ提供とフリーメールですが、本気で活用したい場合は「さくらのメールボックス」(年額1,000円)がおすすめ。メールアドレスが無制限に作成可能(容量は全部で1GB)で、目的ごとにメールアドレスを使い分けたい場合に最適です。ブログやWebサイトも開設したい場合は「さくらのレンタルサーバ」(年間1,500円~)でもメールアドレスは無制限に作成できます。プロバイダを変えてもメールアドレスが影響を受けないので安心です。
フリーメールは無料で提供されているため、メールが届かないなどのトラブルがとても多く、大切な連絡には使うことができません。問題が多く生じるため、サービスへの登録にフリーメールは使えないこともあります。
History
- 2012/11/12
- 表現の追加と修正
- 2012/11/11
- 新規
アンケート
