なぜ「パスワードの使い回し」はダメなのか?
AppBank の主任です。
App Store でアプリを購入・入手する際に使う Apple ID を始め、ウェブサービスを利用するには ID とパスワードが必須。
利用するサービスが多くなれば、どれにも同じパスワードを設定する「パスワードの使い回し」をしがちです。
「使い回しているパスワードはそれなりに複雑だし、ウイルス対策も行っているから安心!」と思われやすいですが、落とし穴もあります。
今回は、その落とし穴が生む「パスワードの使い回し」の危険性と対策をご紹介します。
「パスワードの使い回し」の長所と短所
「パスワードの使い回し」は、例えば Apple ID と Gmail で同じパスワードを設定することを指します。これには長所もあれば短所もあります。
長所
- その都度、新しいパスワードを考える・覚える必要がない
- みな同じパスワードなので忘れにくい
短所
- パスワードを盗まれると、複数のサービスにアクセスされる恐れがある
つまり、パスワードが盗まれなければ、同じパスワードを使い回しても良いとも考えられますが、これを完璧に防ぐ方法はあるのでしょうか?
パスワードが盗まれる経路から考えてみましょう。
パスワードが盗まれる経路は2つ
その1:利用者から盗まれる
利用者の PC がウイルスに感染したり、外出先でパスワードを入力しているところを盗み見される・パスワードを推測されるといった手口があります。
こうした手口は、ウイルス対策ソフトの導入・不審なファイルを開かない・外出先でパスワードを入力しない・推測しにくいパスワードを設定することで、ほぼ防げます。
しかし、偽サイトに誘導して ID とパスワードを入力・送信させる「フィッシング詐欺」のほか、未知の方法を使う手口もあるので、絶対に安全ではありません。
その2:サービス提供会社から盗まれる
ウェブサービスを提供する企業には、利用者が設定したパスワードのリストが保管されています。利用者の認証を行う時に使うためです。
このリストはネットワークに接続されているサーバに保管されているので、不正アクセスを行った人物がこれを盗む可能性はゼロではありません。
また、人為的ミスによってリストが公開・流出してしまう可能性もあります。
暗号化とパスワードの強制リセット
ほとんどの場合でリストの内容は暗号化されています。「○△□」というパスワードを設定しても、そのままの形では保存されません。
暗号を復元する方法があること・暗号化にはルールがあるので、暗号化されたデータは絶対に安全とは言えません。しかし、復元には時間がかかります。
そこでリストを復元される前に、被害に遭ったウェブサービスでは全利用者のパスワードを強制リセットし、利用者に再度設定してもらう措置を取ることが一般的です。
こうした措置が行われれば、そのウェブサービスでの不正アクセスは防げます。では、パスワードを使い回している場合はどうなるでしょうか?
「パスワードの使い回し」が被害を広げる
盗まれたパスワードは不正ログインに利用されます。
利用者本人からパスワードを盗んだ場合、利用者がその事実に気付いていないことが多い・ウェブサービス側も検知しにくいので、不正ログインは比較的容易です。
不正ログインを試みる人物は、そのパスワードが使い回されていることを期待して、他のウェブサービスでもログインを試みます。
ウェブサービスから盗まれた場合、そのデータは「リスト攻撃」に使われます。他のウェブサービスでリストから ID・パスワードを自動入力し、不正ログインを試みる攻撃です。
ポイントは「他のウェブサービスで不正ログインを試みる」点です。
リストの入手元のウェブサービスで情報漏えいが発覚すれば、全てのパスワードが強制リセットされるので悪用は困難です。
しかし、他のウェブサービスでは情報は漏えいしていないので、そのパスワードは強制リセットされていません。
ですから、リストの入手元と同じパスワードを使い回している利用者がいれば、不正にログインすることができます。
不正ログインで何が起こる?
こうして不正にログインされた場合、ウェブサービスの管理者・管理プログラムが不正ログインに気付くまでは正規の利用者として扱われます。
したがって、貯まっているポイントを不正使用する・アカウントを乗っ取る・保存されている情報を元に他のウェブサービスへの不正ログインを試みることなどが可能です。
特に注意したいのがメールサービスです。
パスワードのリセット用に設定するメールアドレスが乗っ取られると、他のウェブサービスにも不正ログインされる恐れが増します。
では、どうすれば良いのか?
ここでは通常の対策に加え、パスワードが盗まれる・流出することで起こる被害を抑える対策をご紹介します。
対策その1:パスワードを使い回さない
パスワードが盗まれる可能性はゼロではないので、最も重要なのは「パスワードを使い回さない」ことです。
とは言っても、人間が覚えられるパスワードの数には限界があります。また、思い付くパスワードにも限度があります。
そこでパスワード管理アプリを利用するのがお勧めです。パスワード生成機能が付いているものもあり、ランダムに文字列を作成してくれます。
利用する際には、そのアプリの機能・評判もよくチェックしましょう。
アナログな方法も
「アプリで管理」に抵抗感を覚える方には別の方法もあります。
例えば、PC には ID と利用する場所を記したテキストファイルを保存しておき、パスワードは紙のノートに書き残す方法もあります。
両方の情報を照らし合わせない限り、不正ログインは行えないので安全性が高まります。
この時にパスワードそのものを書き込むのではなく、ヒントに留めておく・一部分だけ書き留めておくと、不正ログインが成功する可能性はさらに低くなります。
ただし、この PC とノートは普段から別々に保管する必要があります。ノートは金庫に入れておき、鍵をかけておくのも良いでしょう。
対策その2:ワンタイムパスワード(2段階認証)を利用する
2段階認証とは、ID・パスワードの認証に加えて、他の情報で認証する方法です。
特に有効かつ手軽な2段階認証は「ワンタイムパスワード」。ID・パスワードを入力した後、一定時間だけ有効なコードを入力するものです。
ほとんどの場合、このコードは SMS・電話・アプリで確認することができます。
その時々で有効なコードが生成されるので、その生成ルールが明らかにならない限り、第3者がワンタイムパスワードを突破することは困難です。
このワンタイムパスワードを利用していれば、ID・パスワードが盗まれても不正にログインされる恐れを減らせます。
未対応サービスでは利用できませんが、徐々に採用例が増えています。手間は増えますが、利用できるウェブサービスでは設定しましょう。