このページの本文へ

セキュリティで今こそ見直すべき「パスワード」 2段階認証も活用しよう

2020年06月05日 09時00分更新

文● せきゅラボ編集部

  • この記事をはてなブックマークに追加
  • 本文印刷

安易なパスワードの使いまわしに注意

 在宅勤務や、家での作業などが続いていると、クラウドサービスの利用や、オンラインでの買い物も増えてくるものだ。アカウントを作るごとに、パスワードをしっかり設定する必要がある。

 さて、「パスワードを設定する際は、推測されにくいものにする」とよく言われる。生年月日など容易に推測できるものや、短すぎるものなどはやめよう、というわけだ。

 イギリスのNational Cyber Security Centerが、2019年4月にインターネットセキュリティについての調査を実施したところ、ハッキング被害にあったアカウントの中で、もっとも使用者の多かったパスワードは、2320万人が使っていた「123456」だという。安易なパスワードは危険という例だろう。

 気をつけるポイントは、パスワードを複雑化すること、パスワードの使い回しを避けることだろう。自動生成で複雑なパスワードを作成する、パスワード管理ソフトを利用するのもよい。クラウド経由でデータを共有できるソフトなら、パソコンからでもスマホからでもパスワードが同期されて使える。

 とくに気をつけたいのが、パスワードの使い回し。あるサービスからパスワードが流出してしまうと、ほかのサービスでも同じものを使いまわしている場合、それらすべてに不正アクセスされてしまう可能性がある。

 サービスごとに異なるパスワードを設定しておけば、万が一パスワードが推測されたり、不正に情報が流出したりといったケースでも、悪用される可能性は下がる。

2段階認証の有効活用も積極的に

 いまでは、生態認証、多要素認証などのテクノロジーを採り入れたパスワードソリューションが利用されている。たとえば、ログインの際に、パスワードだけでなく電話番号(SMS)などによる認証も必要になる「2段階認証」(ログイン認証)などだ。

 設定しておけば、パスワードが知られてしまったとしても、電話番号に届く認証番号なしではログインできなくなるため、より強固なセキュリティとなる。Twitter、Facebook、Google、Apple IDなど、2段階認証対応のサービスは多いので、活用したい。

 スマホやSNSのIDのパスワードを見直すのは大事なことだが、IoTデバイスやルーターのパスワード、さらにユーザー名をデフォルトのままにしている例も多い。

 スマートスピーカーやIoTデバイスなどを使用するにあたっても、デバイス名やWi-Fiパスワードをデフォルトから変更しておきたい。

 なお、IoTデバイスに限らず、PCやスマホでも、バージョンアップの情報などをチェックする、必要があれば最新のパッチなどを適用する、デバイスがもつプライバシーを保護する機能を知る……なども欠かさないようにしたい。

 McAfee Blogの「あなたのパスワードは大丈夫?オンラインアカウントを保護するための4つのヒント」を紹介しよう。(せきゅラボ)

※以下はMcAfee Blogからの転載となります。

あなたのパスワードは大丈夫?
オンラインアカウントを保護するための4つのヒント:McAfee Blog

 パスワードは私たちについて多くを語っています。それは私たちが優先すること、私たちが大切にしていることについて話します。妻のパスワードに私の誕生日ではなく子供の誕生日が含まれているのを最近見たとき、彼女の優先順位は明らかに子供であり、私のポジションはその次であることがわかりました・・・。

 子供の誕生日や犬の名前など、パスワードは私たちが誰であり、何を大切にしているのかを明らかにすることがあります。多くの人々がパスワードに自分の生活の関連する側面を組み込んで、覚えやすくしています。 この習慣は便利ですが、実際にはセキュリティ上の問題を引き起こす可能性があります。

 5月の第1木曜日(World Password Dayとしても知られています)に敬意を表して、これらの一般的なパスワードの習慣のいくつかを調査するとともに、潜在的なハッカーからオンラインアカウントを保護するためにユーザーが対応可能ないくつかの対策やヒントについてお伝えします。

一般的なパスワードの習慣

 私たちは人間として、物事をシンプルに保つことを好みます。これは必ずしも悪いことではありません。ただし、パスワードのセキュリティに関しては理想的ではありません。Tech Timesによると、英国のNational Cyber​​ Security Centerが最近行った最も一般的なパスワードに関する世界規模の調査では、2,320万人がまだ「123456」という昔ながらのパスワードを使用しており、「123456789」は世界中で770万人が使用していることがわかりました。

 一般的な文字シーケンスの他に、多くの人々(妻を含む)も、重要な日付や愛する人の名前をパスワードとして使用しています。ハリスポールがGoogleと共同で実施した最近の別の調査によると、調査した人の60%近くが、誕生日が少なくとも1つのパスワードに統合され、33%がペットの名前を使用し、22%が自分の名前を使用していると述べています他の一般的な習慣には、複数のアカウントで同じパスワードを再利用する、紙に書き留める、コンピューターのファイルに保存する、Dropboxまたは同様のプラットフォームのファイルに保存するなどがあります。

 非常に多くの複雑なパスワードを思い出すのは難しいため、これらのショートカットは理解できます。実際、以前のマカフィーの調査では、26%の個人がパスワードを覚える必要がなくなるのであれば贅沢(マニキュア、ペディキュア、マッサージなど)をあきらめることをいとわないと回答しました。さらに、回答者の34%は、パスワードを覚えやすいことを最も重視しています。

潜在的なセキュリティリスク

 これらの手法は便利ですが、完全に確実というわけではなく、セキュリティ上の懸念が生じる可能性があります。 これは、パーソナライズされた単純なパスワードを使用すると、データがさらに危険にさらされる可能性があるためです。ハッカーは通常、誕生日、記念日、ペットの名前などの情報をオンラインで見つけることができるためです。 たとえば、あなたが時間を過ごすために取ると考えていた無害なFacebookクイズは、実際に個人情報を詐欺師に明らかにし、詐欺師がオンラインアカウントにアクセスできるようにする可能性があります。

 ユーザーがこのリスクに気づくことが重要ですが、私たちが在宅勤務をしている間は特に注意が必要です。 McAfeeのチーフサイエンティスト兼フェローのラジ・サマーニは、次のように述べています。「ますます接続されるようになった現在、データを安全に保つには、適切なパスワードであるか常に認識し、教育を継続することが不可欠です。」 それは、適切なパスワードの習慣を形成することから始まります。 「baxterthedog1234」のようなパスワードはやめましょう。

オンラインアカウントを保護

 パンデミック後の世界では、私の子供たちを含む私の家族は毎日6時間以上オンラインで過ごしています。先月、私の6歳の娘は、学習や遊ぶために10以上のオンラインアカウントを作成しました。この新しい現実では、私たち全員が自分のためにより良いパスワードの習慣を構築し、それらを子供たちに教える機会があります。つまり、27の完全に一意で複雑なパスワードを覚えておく必要はありませんが、資格情報を安全に保つためにいくつかの簡単なベストプラクティスを採用することができます。犯罪者からオンラインアカウントを保護するための次のヒントを確認してください。

1.パスフレーズを使用

 ZDNetによると、FBIは最近、少なくとも15文字の長い文字列で複数の単語からなるパスフレーズを使用すると、ハッカーが解読するのが難しくなるだけでなく、ユーザーが覚えやすくなることを発見しました。基本的なパスワードを作成する代わりに、歌詞からお気に入りの曲、またはお気に入りの料理の材料に使用する長いパスフレーズを作成します。

2.パスワードが一意であることを確認

 パスワードまたはパスフレーズは、保護する情報と同じくらいユニークでなければなりません。ハッカーがなんらかのオンラインアカウントのパスワードを推測できた場合、複数のサイトで繰り返し認証情報をチェックする可能性があります。オンラインアカウントに異なるパスワードまたはパスフレーズを使用することで、アカウントの1つが脆弱になった場合でもデータの大部分が安全であることを知っていれば、落ち着いて対処できるでしょう。

3.パスワードマネージャーを使用

 パスワードマネージャーまたはMcAfee Total Protection(米国)などの包括的なセキュリティソリューションを使用して、セキュリティを次のレベルに引き上げます。パスワードマネージャーを使用すると、強力なパスワードを作成し、多数のパスワードを覚える手間を省き、自動的にWebサイトにログオンできます。安全を維持することイコール複雑であるというわけではないのです。

4.多要素認証を使用

 2要素認証または多要素認証では、身元を確認するためにテキストメッセージや安全なコードをメールで送信するなど、複数の形式の確認が必要になるため、セキュリティがさらに強化されます。 Gmail、Dropbox、LinkedIn、Facebookなどの特に人気のあるオンラインサイトは、多要素認証を提供しており、数分あれば設定が可能です。これにより、犯罪者によるなりすましが成功するリスクが軽減されます。バイオメトリクスなどの高度な技術により、認証方法も進化しています。おそらく、パスワードデイは将来的に、「World No Password Day」に改名されるでしょう。

アップデートしましょう

 製品も、情報収集もアップデートを忘れずに。安全にインターネットを利用するためのセキュリティのヒントと傾向については、ニュースなどに注意を払いましょう。また、 Twitter で、ぜひ @McAfee_JP@McAfee_JP_Sec をフォローしてください。

※本ページの内容は2020年5月7日(US時間)更新の以下のMcAfee Blogの内容です。
原文:What Does Your Password Say About Your Preferences?
著者:Baker Nanduru

※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。

■関連サイト

カテゴリートップへ