【警告】パスワードが突破される!パスワードの安全性は総当たり時間で決まる！

現在、世の中はネット無くして成り立たない社会になりました。

それなのにパスワード管理の考え方が甘い人がとても多いです。

私は楽天のアカウントを乗っ取られて楽天モバイルでSIMカードを盗まれる「SIMスワップ詐欺」に遭いました。

一つのパスワードを破られると他のアカウントも破られてしまい被害が拡大しました。

そのときの恐さや対応の大変さを思い出すと今でもゾッとします。

ですのでパスワードを守ること、管理することの大切さは誰よりもわかっているつもりです。

今まで行っていたパスワード管理がどれほど甘かったのかを反省して今ではしっかり防御しています。

＼ 覚えるパスワードは1つだけ／

パスワードがバレたらどうなるの？

まずパスワードがバレたらどうなるのかお話します。

私の場合は全てのアカウントが乗っ取られたことによる金銭被害と警察への対応や各サービスへの連絡等、それに一番は精神的ダメージで本当に大変な目に遭いました。

その被害についての記事はコチラです。

金融機関・証券会社のパスワードがバレたら？

銀行内や証券会社内に預けている資金が抜き取られてしまいます。

場合によっては借入金を作られてしまう可能性もあります。

ショッピングサイトのパスワードがバレたら？

クレジットカードを利用して買い物をされてしまいます。

個人情報である自分の住所を書き換えられてしまう可能性もあります。

その場合は、商品は届かないのに借金だけが残ることになります。

SNSのパスワードがバレたら？

悪質な書き込みやつぶやきをされてしまうかもしれません。

更にあなたの友人にフィッシングメールを送り更に被害を拡大させる可能性もあり、あなたの信用がガタ落ちになります。

悪いパスワードとは？

破られたらとても恐いパスワードですが、パスワードを作るときはついつい自分が覚えておきやすいものを選びがちです。

簡単にいうと「人の頭で思い浮かぶもの」は破られやすいです。

良いパスワードの条件は？

逆に良いパスワードの条件とは、ズバリ自分では覚えられないような長くて複雑なものです。

この3つを全て満たすものが良いパスワードとされています。

できるだけ長く複雑にすることが防御力を高める

今のパスワード攻撃は人間が考えておこなっているのではありません。

全てコンピューターで破っているのです。

「ブルートフォース」という攻撃です。

これはパスワードとして可能な文字列を総当たりで試すという攻撃です。

例えば4桁の暗証番号をパスワード（パスコード）に使用している場合、「0000」～「9999」の1万種類の組み合わせを全て試すことで、必ず正解にたどり着くことになります。

人力で実施するのは困難ですが、コンピュータでは、１万とおりを瞬時で解読できるといわれています。

この総当たり攻撃をされるとパスワードがどれくらいの時間で破られてしまうのか長さ（桁数）別に表にしました。

参照Home Security Heroes AIツール「PassGAN」による解析結果

黄色い枠は瞬時、もしくは1ヶ月以内には突破されてしまうパスワードです。

私は楽天のパスワードを突破されたのですが、その時のパスワードは数字8桁でした・・・。

「自分と関係のない数字だからわからないだろう」と安心していたのですが、人間が考えて解析すると思っていたことがそもそもの大間違いです。

コンピューターにかかれば瞬殺ですね。

数字と小文字と大文字と記号を組み合わせても9文字なら2週間で突破されてしまいます。

長さがとても大事であることがこの表からわかると思います。

パスワードを使いまわさない

パスワード攻撃の一つである「パスワードリスト攻撃」というものをご存じでしょうか？

攻撃者があらかじめ何らかの方法で入手した、サービスやシステムのIDとパスワードをリスト化したデータを利用し、不正にWebサイトへの不正アクセスを試みるという攻撃方法です。

インターネットを利用するユーザーは、複数のサイトで共通したID・パスワードを用いてる人が多いです。

複数のサイトで同じアカウント情報を使いまわしていると、攻撃者はその利用者の複数のサービスのアカウントを乗っ取り、個人情報を搾取したり、不正送金をしたりしやすくなってしまいます。

また攻撃者がパスワードリストを入手する手段の一つに、フィッシングが挙げられます。

フィッシングは、メールやSNSなどで正規の企業や組織を偽ってフィッシングサイトと呼ばれる偽装サイトへ誘導し、IDやパスワードなどを入力させる詐欺のことをいいます。

こうしたフィッシングを通じて仕入れたID・パスワードのリストをパスワードリスト攻撃に利用している可能性があります。

そのため、フィッシング被害も原因の一つと考えられます。

＼ 覚えるパスワードは1つだけ ／

パスワードの管理を「1Password」に任せた方がいい理由

長くて複雑で使いまわさないパスワードが良いということはわかりました。

でも・・・

そうです。

だから私は「1Password」というパスワード管理アプリに任せています。

覚えるパスワードはたった1つでいい

「1Password」は世界1500万人以上のユーザーに指示されているパスワード管理サービスです。

複数のパスワードを一つのアプリで一括管理できるのです。

あなたが覚えておくのはそのアプリを開くための「マスターパスワード」たった1つです。

安全性の高いパスワードを自動生成してくれる

「1Password」はランダムなパスワード・覚えやすいパスワード・暗証番号を自動で生成してくれます。

「ランダムなパスワード」は8文字から100文字まで選べて、数字や記号を入れるか入れないか選べます。

「覚えやすいパスワード」なら3語から15語、区切りもハイフンなどから数種類選べます。

「暗唱番号」なら3数字から12数字まで自動生成してくれます。

パスワードを作るときに何の文字をどれだけ使えばいいのかという悩みを解決してくれます。

＼覚えるパスワードは1つだけ ／

パスワード漏洩の原因は人為的ミス

そもそも個人情報を盗まれたり、IDやパスワードを漏らしてしまう原因をご存じでしょうか？

原因の多くは「フィッシング」や「ショルダーハッキング」です。

そのような人為的ミスを起こさないために、自分でパスワードを管理しないことが大切なのです。

フィッシング対策

フィッシングとは、金融機関などの名前を詐称した電子メールを送りつけたり、偽の電子メールから偽のホームページに接続させたりするなどの方法で、クレジットカード番号、アカウント情報（ユーザID、パスワードなど）といった重要な情報を盗み出す行為のことを言います。

最近では、電子メールの送信者名を詐称し、もっともらしい文面や緊急を装う文面にするだけでなく、接続先の偽のWebサイトを本物のWebサイトとほとんど区別がつかないように偽造するなど、どんどん手口が巧妙になってきており、ひと目ではフィッシング詐欺であるとは判別できないケースが増えてきています。

フィッシング対策をするには必ず正しいWebサイトにログインをすることです。

「1Password」を利用するとあらかじめ登録しておいた正しいWebサイトにログインできるので、偽サイトに個人情報を入力することを防ぐことができます。

ショルダーハッキング対策

 「ショルダーハッキング」とは、パスワードなどの重要な情報を入力しているところを後ろから近づいて、覗き見る方法です。

ショップの店員さんなどはクレジットカードの暗証番号を入力するときには顔をそらして見ないように配慮してくれていますよね。

しかし、店員さんではなくひょっとしたら後ろに並んでいるお客さんが覗き見てるかもしれません。

たとえオフィス内であったとしても、キーボードでパスワードなど重要な情報を入力する際には、周りに注意しなければなりません。

ショルダーハッキングの対策としては、キーボードで入力しなければバレませんよね。

「1Password」を利用すると「…………」と隠されたパスワードをコピーして貼り付けるだけでOKなのでバレる心配はありません。

＼ 覚えるパスワードは1つだけ／

まとめ

良いパスワードの条件は次の3つを全て満たすものでした。

1. できるだけ長くする
2. 複雑にする
3. 使いまわさない

ただその3つを満たすものは自分の頭の中の記憶量的に非常に難しいです。

そしてパスワード漏洩の原因のほとんどが人為的ミスですので、実は自分で管理しない方がいいのです。

「1Password」は安全なパスワードを自動生成してくれて、全て覚えていてくれます。

あなたが覚えておくのは「1Password」を開くマスターパスワードたった1つだけ。

正しいサイトのログイン画面に案内してくれて、パスワードも自動入力もしくはコピペで簡単に入力できます。

自分よりミスがない「1Password」は、これからのネット社会において欠かせないツールです。

「1Password」の安全性についての記事はこちら

にほんブログ村