パスワードを設定する時の注意とパスワード管理アプリの紹介


社内MTGで話した内容の共有です。

パスワードを新しく作る時の注意

辞書に載っている語句は使わない

辞書に載っている単語は誰でも知っている単語であり、簡単に組み合わせパターンを生成できるため使ってはいけません。

思いついたパスワードは使わない

パスワードを考える時、パスワードを思いつくことがあります。
私の姓は yotsuyanagi ですが、例えばこれを 逆にして、 o と i を数字にして、一部頭文字にして
1GanayustOy

というパスワードを思いついたとしますが、使ってはいけません。
自分が思いつくようなパスワードは、プログラムでも簡単に作れます。
他にも、PCキーボードやスマホのキーボードで打ちやすい文字を思いついた、とかもダメです。

ダメなパスワードの例

ilovetokyo2408

The-Quick-Brown-Fox

asdfzxcvjkl;m,./

このようなパスワードは、簡単に推測されます。

12345678, password, admin, 会社名なんかは論外です。

良いパスワードの例

ja3~hAb?eW%a

pAPr!p2u'u<a

これらのパスワードは、簡単に推測されることはありません。

どうやって作るのか?

パスワード管理ツールについている生成器(パスワードジェネレータ)で作りましょう。

例外を認めない

加えて、パスワードを作る時は例外を認めないようにしましょう。
・仮のパスワードだから
・検証環境だから
・試しで使ってみるだけだから
等、理由をつけて推測しやすいパスワードにしてはいけません。
例外かどうか、を判定するのにもコストがかかります。「パスワード」という単語が出てきたら、ジェネレータで作る以外に方法は無いと習慣づけましょう。

サイト毎にパスワードは変える

(他のサイトで使っているパスワードは使わない)

複数のサイトでパスワードを使いまわしていると、ある1つのサイトのパスワードが漏洩してしまった場合、他の同じパスワードのサイトがすべて乗っ取られてしまいます。

パスワードの漏洩は、フィッシングなどに引っかかって漏らしてしまう場合もあれば、サービスが保持しているパスワードがハッシュ化されておらず、悪意ある従業員が見たり、セキュリティホールからデータが漏洩してしまう危険性もあります。そのような時に被害を最小限にするため、サイトごとにパスワードは必ず変えましょう

さらに安全に使うには

サービスで2段階認証を使える場合、有効にしましょう。
少し手間は増えますが、受けられるメリットのほうがはるかに大きいです。

使える場合は、2段階認証を使いましょう

パスワードを保存する時

パスワードツールを使いましょう

メモ帳や表計算ソフトはやめて、パスワード管理ツールを使いましょう。
マスターパスワードがつけられて、内容が暗号化される必要があります。

パスワードツールの紹介

無料

無料アプリはサポートが充実しておらず、アップデートも頻繁ではないためできれば有料アプリを使いましょう。

無料/Windows

Keepass

完全無料でいくならこれ。Windows, Android で使えます。
Mac, iPhone は 一応使えますが、クライアントアプリのアップデートがあまりされておらず、おそらく keepass ver.1 しか対応アプリは無さそうなので Windows と連携する時は注意。
あまり便利な機能などありませんが、一応使えます。

データの保存先を Dropbox など信頼できるクラウドストレージにすれば、機種間のパスワード同期も可能です。

Buttercup

比較的新しいアプリです。Windows, Mac, Linux対応。フリーではかなり良く、イチオシです。表記は英語です。

ID manager

古くからあるパスワード管理ツールです。シンプルながら十分使えます。

データの保存先を Dropbox など信頼できるクラウドストレージにすれば、機種間のパスワード同期も可能です。

無料/mac

キーチェーンアクセス

mac でお金をかけたくないなら、macにインストールされているキーチェーンアクセスアプリを使いましょう。
Windows や Android との連携はできないので、Windows でも読みたいなどあれば他のアプリにしましょう。

無料でもなんとか使える (フリーミアム)

keeper

なにかと有料プランへの告知が出ますが、無料でも十分に使えます。マルチデバイスでの対応状況も良いです。
有料の場合、¥3,600/年

Lastpass

使ったことありませんが有名、サイトを見るかぎりけっこういけそう。
有料の場合、$2/月 の年間払いで $24/年

データ漏洩がニュースになったこともありました。

有料 (サブスクリプション課金)

1Password

僕はこれです。マルチデバイスは一応対応ですが、OSごとに違うライセンス(アプリ代金)が必要なので少し高額になります。
→最近は買い切りではなくストレージつきサブスクリプションプランになってました。$2.99/月 か、$4.99/月 のファミリープランがありました。
年だと $35.88/年

True Key

Intel/マカフィーブランド。無課金だと15件しか保存できず、使い続けるのは難しそうなので有料扱いにしています。昔は5件だったような。機能十分。
有料だと2,678円/年 ($19.99)。

トレンドマイクロ パスワードマネージャー

無課金だと5件しか保存できず、使い物にならないので有料扱いにしています。
月額150円ぐらい、有料にしては安いほう。
年だと 1,800円ぐらい

有料 (買い切り)

買い切りのパスワード管理アプリは今のところ有力なものが無さそうです。

昔は 1Password が買い切りだったが今はやってない?
あと mac 用では、Forklift を作ってる会社の Locko というアプリもありましたが、(日本のストアでは?)非公開になってました。


おすすめは?

フリーでいくなら ButterCup が良いでしょう。

有料なら、1Password が良いです。特に家族で使うなら割安なのでおすすめです。サブスクリプションになってちょっと嫌だと思ってたのですが、契約して使ってみたらかなり良かったです。WebアプリやChrome拡張もあるので、Linuxでも使えます。

やむおえず人にパスワードを伝える時

基本的に、アカウントの使い回しは無いに越したことありませんが、業務上まれにあります。

・メールに書かない

経路によっては回線が暗号化されておらず、内容が盗聴される可能性があります。

また、メールサーバが暗号化せず保存している場合も多いので、比較的簡単に中身が読まれる可能性があります。

どうする?

メール添付する場合は、暗号化してファイルを添付する。 gnupg とか使う

メールを使わず、別の安全な経路で伝える。お互いSSHで入れるサーバがあるならそこに書くとか。

フィッシングメールに注意

たまに、メールでフィッシングが来ます。Gmail だと見たことないのですが、Outlook online だと見かけたります。

メールの内容としては、「Apple ID がリセットされました。すぐログインして確認してください」等の文言が書いてあり、ログインを促すボタンが表示されています。その他、巧妙な文面で不安を煽る内容が書かれているはずです。

あなたは絶対にボタンを押してはいけません。

ログインボタンを押した時点で、あなたのメールアドレスは「フィッシングメールを踏む情弱カモ」と認定されリストに登録されます。その後、情弱なあなたにフィッシング攻撃のメールやらスパムやらが大量に送られてくることになります。

ログインボタンを押すと、おそらく偽物のログインフォームが設置されたページ表示されます。見た目は、本物のサイトと区別がつかないはずです。おそらくSSL対応され、ブラウザ上は安全な鍵マークが表示されていることでしょうが、ブラウザ上のドメイン表示は偽ることはできないため、ドメインをしっかり見れば偽物のサイトだと気づくかもしれません。

セキュリティ対策ソフトがインストールされている場合、ここで警告が出るはずです。最近のブラウザであれば、ブラウザ自体が警告を出すかもしれません。(出さないかもしれません。)

それでも気付かずにメールアドレスとパスワードを入力した場合、おそらくは正規のログインページに飛ぶ気がします。あなたは、「パスワードを間違ったのかな?」と思うだけかもしれませんが、攻撃者は既にパスワードを入手しています。

この次の攻撃はおそらく2つのパターンに別れます。

A) 攻撃者がパスワードを変更しない (静かな攻撃)

攻撃者はあなたのパスワードを入手しましたが、活動的な攻撃は行いません。そのメールアドレスとパスワードを使い、他のサイトにログインできるかを試します(プログラムが自動的に行います)。そして、ログインできた全てのサイトを記録し、あなたの活動を監視します。それで攻撃者の目的が達成される場合もありますし、もしくはどこかのタイミングで大きな攻撃をするために待っているだけかもしれません。

B) 攻撃者がパスワードを変更する (活発な攻撃)

パスワードを入手した攻撃者は、そのパスワードを使ってサイトにログインし、すぐパスワードを変更します。場合によってはパスワードリマインダーが使えないよう、メールアドレスも変更するかもしれません。おそらくプログラムが自動的に行います。

そして、そのアカウントを使い、SNSに広告を投稿したり、友達リストの友達に「コンビニでプリペイドカード買って」など連絡を取るかもしれません。

あなたはそのアカウントにログインする方法も、パスワードをリセットする方法も持たないため、アカウントをあきらめるしかありません。すぐさま、知人に「乗っ取られたので変なこと言われても無視して」と連絡しましょう。

Current rating: 5

コメント

コメントを投稿
コメントするには TORICO-ID にログインしてください。
ログイン コメント利用規約