スクリーンショット 2016-02-03 14.31.05

ぼくのかんがえたさいきょうのセキュリティたいさく。ログイン編

このような記事が公開された。

セキュリティの専門家とそうでない人のセキュリティ対策の違いとは、Googleが論文紹介 -INTERNET Watch

01_s
逆に一般ユーザーの42%がアンチウイルスソフトを最も重要な対策の1つとして挙げているのに対して、同項目を挙げた専門家は7%だった。専門家は、アンチウイルスソフトの有効性を理解しているものの、そうしたソフトも完璧な対策ではなく、逆にユーザーに対して間違った安全認識を与える可能性を問題として指摘している

ソフトウェアアップデートはマジ大事。ウイルスが入ってくることを防ぐのではなく、入ってこようとするウイルスを無効にするためのものだから。

だが、今回はそことは別に、いろんなサービスを使う上でのログインパスワードの管理について「ぼくのかんがえたさいきょうのセキュリティたいさく」を紹介したい。

目次

  • 1.パスワードはサービスごとに違うものを使え
  • 2.パスワードは強固なものを使え
  • 3.メールアドレスもサービスごとに違うものを使え
  • 4.メールアドレスもエイリアスも強固なものを使え

1.パスワードはサービスごとに違うものを使え

自分でIDを指定できるサービスがいくつかある場合、みんなだいたい同じIDを取るでしょ?
例えばTwitterとInstagramなんかは同じIDを取るでしょ?そして同じパスワードを使ってる?
じゃあ、Twitterからパスワードが流出したら、Instagramのアカウントも簡単に乗っ取れるね!おめでとう!

それを防ぐために、パスワードはサービスごとに違うものにしておけ。

それぞれのパスワードが覚えられない?ならば1Password使え。
1Passwordの解説はここが詳しい。
「1Password」の使い方と設定方法を徹底解説

結論。パスワードはサービスごとに違うものを設定し、1Passwordで管理する。

2.パスワードは強固なものを使え

「サービスごとに違うパスワード…ならばTwitterは”1234″でInstagramは”abcd”にすればいいんだ!」とか思った人、アウト。
違うものを使っても、簡単なパスワードならば一瞬で突破される。

「”1234″がダメなら…”password1234″にすればいいんだ!」とか思った人、アウト。
こんなのも簡単なパスワードに含まれる。
世の中には「辞書攻撃」というハッキング方法があり、「よく使われるパスワード一覧」を使ってログインを試す攻撃手法である。
例えば”P@asswrod”のようなちょっと凝ったように見えるものでも「よく使われるパスワード一覧」に含まれているため、一瞬でハックされてしまう。

ならば強固なパスワードはどのようなものか?
答えは簡単。「めっちゃ長いパスワード」が強固なパスワードになる。

例えば、”1234″のような数字4桁の組み合わせのパスワードの場合、文字の組み合わせは1万通りになる。
こんなものは手作業でもがんばれば突破できる。

これが”McVK1peR”のようなランダムな数字とアルファベットの組み合わせの8桁のパスワードの場合は 36^8 = 2821109907456通り、ざっくり2兆8千億通りになる。
だがそれでもまだ甘い。最近のコンピュータは2兆通りぐらい簡単に試せる。

だがしかし!これが”oEQu9yRTiVnyQh4tVeyMniaTamywkytRfGCwtoZxqedVTnsUfZ”のような、ランダムな数字とアルファベットの50文字の組み合わせならば 36^50 = 65331862350000000000000000000000000000000000000000000000000000000000000000000000通り、なんかもうざっくり数えるのも難しい組み合わせの数になる。
これもコンピュータの進化によっていずれは突破される可能性があるが、現時点ではこれで十分。

たまにパスワードの文字数制限があるサービスが存在するが、そんなサービスには舌打ちをしながらできるだけ長い文字数にしよう。

長いパスワードを作るのが面倒くさい?ならば1Password使え。
1Passwordは「パスワードの生成」機能があり、簡単に長いパスワードを作れる

Untitled 13

1Passwordの解説はここが詳しい。
「1Password」の使い方と設定方法を徹底解説

結論。パスワードはめっちゃ長いものを作り、1Passwordで管理する。

3.メールアドレスもサービスごとに違うものを使え

「メールアドレスをいくつも取るの?超面倒じゃん!バカじゃねーの?」と思った人、いませんか?

Gmailというサービスがあるんです。みなさんご存知ですよね?Androidスマホ使ってる人は絶対持ってますよね?
まだ持ってない人がいるならば、いますぐアカウントを作りましょう。

Gmail – Google の無料ストレージとメール

そしてGmailには「エイリアス」という機能があるんです。みなさんご存知ですよね?ご存知ない?それは仕方ない。
これを使いこなしてる人はなかなかいない。

Googleのサポートサイトを見てみると次のように書いてある。
アドレスのエイリアスの使用

たとえば、jane.doe+notes@gmail.com 宛のメッセージは jane.doe@gmail.com に配信されます。

たとえば、jane.doe+notes@gmail.com 宛のメッセージは jane.doe@gmail.com に配信されます。

たとえば、jane.doe+notes@gmail.com 宛のメッセージは jane.doe@gmail.com に配信されます。

大事なことなので三回言いました。
Gmailは「username+iloveyou@gmail.com」でも「username+iknow@gmail.com」でも「username@gmail.com」に届く。
そして「+ナンチャラ」は自由に設定できる。

だからこれを使ってAmazonには「username+amazon@gmail.com」、楽天には「username+rakuten@gmail.com」と登録しておく。

こうすれば、どちらからのサービスからメアドが流出しても大丈夫。
そのメールアドレスを使って他のサービスにログインを試しても「そのメールアドレスは登録されていません」となる。
ユーザーが存在しないならば、パスワードを推測してログインを試すことはできない。これ最強。

さらにおまけとして、この手法を使えばメールアドレスが流出した場合に「どのサービスからメアドが流出したか」の判断にも使えるようになる。 (※1)

ただし、たまに「メールアドレスに+の文字を許容していないサービス」がある。
例えば、Facebookやニコニコ動画などは、サブアカウントを作ることを禁止するためにエイリアスを禁止している。

しかし、他の理由、例えば「メールアドレスの正当性を確認する正規表現が間違っている残念なサービス」や、「なぜかメールアドレスに使用できる文字を制限している残念なサービス(※2)」がある。

このようなサービスに出会った場合は舌打ちをして、エイリアスを使わずに本来のメールアドレスを渡すか、もしくは「そんな残念なサービスは使わない」とさっさとあきらめるようにしよう。

どのサービスにどのメールアドレスを使って登録したか覚えられない?ならば1Passwordを使え。
登録したメールアドレスもパスワードと一緒に管理できる。

1Passwordの解説はここが詳しい。
「1Password」の使い方と設定方法を徹底解説

結論。Gmailを使って、サービスごとに違うエイリアスをつける。

4.メールアドレスもエイリアスも強固なものを使え

「エイリアスをつけても、そのサービス名をそのまま使っていたら簡単に推測できるんじゃねーの?」と思った人、あなたは鋭い。

ならば、エイリアスにもパスワードのようなランダムな文字列をつけてやればいい。
先の例を使うならば、Amazonには「username+amazonoahtw89@gmail.com」、楽天には「username+rakuten8yoi4j5@gmail.com」のようにする。
こうすればサービスに登録されてるメールアドレスを推測することすら不可能になる。
パスワードリセットに何らかの問題があるサービスでも、そのパスワードリセットのメールを送らせることすらできない。

これと50桁のパスワードを組み合わせればログイン情報を推測することは事実上不可能になる。

この強固なエイリアスをつけたメールアドレスも1Passwordを使って管理すればいい。

1Passwordの解説はここが詳しい。
「1Password」の使い方と設定方法を徹底解説

結論。エイリアスを使って、メールアドレスの推測すらできなくする。

以上、これらの手法で管理するのが「ぼくのかんがえたさいきょうのセキュリティたいさく」である。

もう一度振り返ってみよう。

  • 1.パスワードはサービスごとに違うものを使え
  • 2.パスワードは強固なものを使え
  • 3.メールアドレスもサービスごとに違うものを使え
  • 4.メールアドレスもエイリアスも強固なものを使え

なお、1Passwordのマスターパスワードをなくした場合は全てのサービスが使えなくなるので、マスターパスワードは紙にでも書いて金庫に保管しておくこと。

※ この記事は1Passwordのステマではありません。「1Password」の使い方と設定方法を徹底解説を掲載されている携帯総合研究所さまのステマでもありません。
※1. もしかすると流出したメールアドレスを使ってスパムを送る業者が「gmail.comの場合は+がついてたら削除する」というルールで下処理をした場合には、この対策は無効となる。この対策をさらに強化したいならば、GoogleAppsを使うべし。
※2. 「メールアドレスに+文字を許容していない残念なサイト」の具体例を挙げるとITmediaがある。「使えない。不具合だ」と問い合わせたら「仕様です」と返してきた。いやはや、日本を代表するような「IT総合情報ポータル」でこの体たらくは本当に残念である。

Share on Facebook54Share on Google+0Tweet about this on Twitter