パスワード。現代のデジタル社会にはなくてはならないものです。インターネットを使っている人なら誰でも、両手に余るほどのパスワードを使っていることでしょう。何十、何百という人もいるかもしれません。パスワードを使うことがあまりにも日常的になってしまった今、ハッカーやサイバー犯罪者が虎視眈々を待ち構えていることを忘れてしまいがちです。
SNSでフレンド全員にスパムメールが送られてしまって恥ずかしい思いをした経験はありませんか。パスワード漏洩による被害は、その程度の軽いもので済むこともあります。しかし、メールやクラウドストレージに保存している金融機関のアカウント情報や機密情報に不正アクセスされてしまった場合、恥ずかしいだけでは済みません。
ただ、こうしたオンラインアカウントへ不正アクセスされてしまうリスクは、簡単な手順を踏むだけで大幅に減らすことが可能です。
パスワードの重要性
私たちは Web サイトやアプリにログインするたびに、実質的に 2 つの質問に答えています。それは、「あなたは誰」で「それを証明できるのは何か」です。
「あなたは誰」に答えるのは簡単です。通常はアカウント登録した際に使用したメールアドレスや電話番号、ユーザ名などが個人を識別するのに使われます。しかし、これらは多くの人に教えるものなので、非公開の情報ではありません。
そこで、あなただけが知っているもの(パスワードなど)、あなただだけが持っているもの(認証ツールのコードやセキュリティキーなど)、あなたの特徴(指紋など)を使って、あなたがあなたであることを証明する必要があります。そして、現在最もよく使われている認証方法が、この記事でも取り上げるパスワードです。
パスワードは、ログインしようとしているウェブサイトまたはアプリとあなただけが知っている情報でなければなりません。他の人に知られてしまえば、その人があなたとしてログインするのは簡単です。なりすましによる被害はこうして発生します。
ハッカー対パスワード
ハッカーに対しては、得体のしれないミステリアスな印象を持っている方も多いかもしれませんが、彼らも私たちと同じ人間です。ハッキングを生業とし、その仕事を効率化する方法を常に探しています。
多くの場合、ハッカーがまず試してみるのは、一般的なパスワードです。CyberNews (英語) によると、最もよく利用されているパスワードは「12345」だそうです。こうした簡単なパスワードを使っていると、残念ながら真っ先にハッカーの標的となります。
ハッカーが次に試してみるのは、「クレデンシャルスタッフィング攻撃 (パスワードリスト攻撃)」と呼ばれる攻撃です。これは、長年にわたり様々な Web サイトからメールアドレスとパスワードの組み合わせが流出していること、そして多くの人が同じパスワードを複数のサイトで使用していることに目をつけた攻撃手法です。たとえば、あなたがサイト A で使っているメールアドレスとパスワードを、サイト B でも使用している場合、ハッカーは サイト A から流出したアカウント情報を悪用して、両方のサイトにアクセスできてしまいます。HaveIBeenPwned (英語) のような無料サービスを利用して、自分のメールアドレスとパスワードがどこかで漏洩したことがあるかどうか確認してみましょう。
パスワードの安全性を高める方法
被害に遭わないようにするためには、以下のすべての条件を満たすパスワードにする必要があります。
- 同じパスワードを複数の場所で使わない。それぞれの Web サイトやアプリケーションで、必ず別のパスワードを使うようにします。
- ランダムである。名前や誕生日などの個人情報を含めないようにします。
- 16文字以上である。16 文字以上にすることで、総当たり攻撃の標的にされにくくなります。
これらが難しいと感じる方もいらっしゃるでしょう。たくさんの長いパスワードをすべて覚えておくのは大変です。うれしいことに、今はログイン情報を管理するためのツールが数多くあります。パスワードはツールにまかせて、週末の計画や誕生日の企画など大切なことに労力を使いましょう。
1Password、LastPass (英語)、Dashlane (英語) といったパスワードマネージャを使用することを強くおすすめします。これらは、パスワードの管理とセキュリティに特化したクロスプラットフォームのツールで、どのデバイスからでも利用できます。パスワードマネージャを利用したくない方は、紙のノートにパスワードを書いて安全な場所に保管しておいてもいいでしょう。絶対にしてはならないのは、パスワードをメールやクラウドストレージ、オンラインのノートに保管することです。
まとめ
パスワードの管理は面倒なものです。しかし、ハッカーがデジタルライフに侵入してくるのを防ぐためには、きっちり管理することが不可欠です。ハッカーがどのような手法を使うか理解し、パスワード管理ツールや紙のノートを使えば、オンラインでのセキュリティは格段に向上します。自分のデータをしっかり守って安全なオンライン生活を送りましょう。
Evernote 注: 弊社はアカウントのセキュリティを最優先に考えています。本記事で触れられている対策を講じることを、すべてのお客様に強くお勧めします。また、念には念を入れ、Evernote アカウントの 2 段階認証を有効にすることを強くお勧めします。とても重要な話題について寄稿してくださった Muller 氏に感謝いたします。
筆者について
Matt Muller 氏: 世界有数の仮想通貨プラットフォームを運営する Coinbase 社でセキュリティオペレーションズ部門のディレクターを務める。一番好きなことは日々進化する詐欺の手口と戦い勝利し続けること。二番目に好きなのはチーズとワイン。