セキュリティ

「なぜパスワードを記憶するべきではないのか」を簡単に説明したムービー

By Ervins Strauhmanis

Twitter、Gmail、Amazonなど、日常的に使うウェブサービスのアカウントには「ユーザー名」と「パスワード」が登録されていますが、複数のパスワードを記憶しておくのは難しいため、簡単なパスワードを複数のウェブサービスで使い回してしまう人も多いもの。そんな簡単なパスワードを複数のウェブサイトで使い回している人向けに、パスワードを使い回すとどのように危険なのかが理解できるムービーが公開されています。

Here's why you should stop memorizing your passwords - YouTube


インターネットが普及した現在、1人あたり平均27個のウェブサイトにアカウントを持っています。


ウェブサービスにアカウントを作るには、ユーザー名とパスワードを登録する必要がありますが、多くの人が頭で記憶しやすい簡単なパスワードを選んでしまいます。そして、同じパスワードを異なるウェブサイトで使い回す人も多く存在しています。


ハッカーがパスワードを得るプログラムはさまざまあり、文字の組み合わせを総ざらいで試す「総当たり攻撃」や……


実在のウェブサイトや企業のフリをしてメールを送りつけたり、ニセのウェブサイトに情報を入力させる「フィッシング攻撃」などがあります。


これらの攻撃によってパスワードを盗まれると、もし同じパスワードを使い回している人は、メールアカウントや、写真を保管しているクラウドサービス、お金を預けている銀行のオンラインアカウントにまで危険が及ぶこととなります。


2016年にはYahooが10億人分のユーザーアカウント情報を盗まれるという史上最大規模のハッキングが発生しました。


もし同じパスワードを使い回している人が海外のYahooアカウントを持っていたとすれば、ほかのウェブサイトの情報がハッキングされたことと同じなのです。このように、ハッキングは絶えず行われているため、セキュリティ専門家はウェブサイトごとに異なるパスワードを作るよう警告しています。


セキュリティ専門家は覚えやすいパスワードを記憶するのではなく、「パスワードマネージャー」と呼ばれるソフトウェアの使用を推奨しています。


パスワードマネージャーが登場するまで、多くの人が「パスワードは頭の中で保管するもの」と考えていましたが、頭の中で複雑な文字の組み合わせをいくつも記憶しておくのは難しく、1人で覚えておけるパスワードの量には限界があります。


その結果、人は簡単なパスワードをあちこちで使い回してしまうのですが、ハッカーにとっては一度に複数のウェブサイトのアカウント情報を得られる格好の餌食となっています。


例えば、毎年公表されるよく使われるパスワードランキングで、「password」というパスワードが毎年トップ10入りしていますが、ハッカーはプログラムを使って数ミリ秒で「password」というパスワードにたどりつくことができます。


一方で、パスワードマネージャーなどで生成できる15桁のランダムな大小の英字、数字、記号を組み合わせたパスワードは、解析するまで6億900万年の時間がかかるとのこと。


つまり、頭の中でパスワードを管理するのをやめ、「仮想金庫」に異なる複雑なパスワードを覚えさせておく必要が生じます。これを行ってくれるのがパスワードマネージャーです。


パスワードマネージャーは最初に「マスターパスワード」を設定するのですが、このマスターパスワードさえあれば、パスワードマネージャーに保存しているすべてのウェブサイトのアカウント情報にアクセスすることができます。


ウェブサイトごとのパスワードを覚えておく必要はないので、やろうと思えば15桁以上の超複雑なパスワードを設定することも可能です。


そしてパスワードマネージャーは多くの場合、デバイスを問わずに使用できます。


すると、もしパスワードマネージャーがハッキングされてしまうとどうなるのでしょうか?ハッカーはすべてのウェブサイトのアカウント情報を入手できるように思えますが、パスワードマネージャーはユーザーのアカウント情報を暗号化して保存しているため、ハッカーが得るのはごちゃごちゃにかき混ぜられたパスワードだけとされています。


パスワードマネージャーの「LastPass」は2015年にハッキングされ、ユーザーにマスターパスワードの変更を求めましたが、内部のデータは暗号化されていたため、被害はなかったとのこと。


このように、人々は利用するウェブサイトの数が増え、ハッキングが横行している時代だからこそ、パスワードマネージャーによるパスワードの運用が安全とされています。一方で、多くのパスワードマネージャーには主要なブラウザでウェブサイトを開くと自動的にログインできるプラグインがあるのですが、Voxはパスワードマネージャーのブラウザプラグイン機能も、誰でも使えるため安全ではないと懸念しています。


アメリカでは毎年100万人がハッキングの被害にあっています。プラグインのことを考慮しても、頭の中でパスワードを覚えておくよりパスワードマネージャーを使った方がベターです。なお、このムービーで説明しているVoxのアンドリュー氏は、「物理的にデバイスを紛失すると他人に使用される可能性があるため、デバイスの紛失を考えてすべてのウェブサイトのパスワードをノートに書き写している」とムービーのコメント欄で補足しています。

・関連記事
無料化した面倒なパスワード管理が超絶簡単になる「LastPass」スマホ版の使い方 - GIGAZINE

無料でiOS/Android/PC/Macで使用可能なパスワード&クレカ管理ソフト「Dashlane Password Manager」 - GIGAZINE

無料でiOS/Android/Windows/Mac間を同期可能なパスワード管理ソフト「PasswordBox」 - GIGAZINE

iOS 8から「1Password」が指紋認証に対応、Twitterなどのログインも簡単に - GIGAZINE

頭を悩ます面倒なIDとパスワードをまとめて簡単管理できるフリーソフト「ID Manager」 - GIGAZINE

指紋認証と音声コントロール搭載のID・パスワード管理USBドライブ「myIDkey」 - GIGAZINE

大量のパスワードを暗号化管理し一発で自動ログインできるフリーソフト「LoginCode」 - GIGAZINE

in ソフトウェア,   動画,   セキュリティ, Posted by darkhorse_log