あなたのパスワード、本当に安全ですか?
シンママちゃん安全だと思ってるけど
どうなんだろ?
「簡単だから」と使っているパスワードが、実は最も狙われやすいかも知れません。
総当たり攻撃という方法を使えば、予想以上に簡単に突破されることも…。
シンママちゃん総当たり攻撃?
ゆらぎママあまり知られていませんが
その名のとおり総当たりで
攻撃する手法です
現在、世の中はネット無くして成り立たない社会になりました。
それなのにパスワード管理が甘い人がとても多いです。
私は楽天のアカウントを乗っ取られて楽天モバイルでSIMカードを盗まれる「SIMスワップ詐欺」に遭いました。
一つのパスワードを破られると他のアカウントも破られてしまい被害が拡大しました。
そのときの恐さや対応の大変さを思い出すと今でもゾッとします。
なのでパスワードを守ること、管理することの大切さは誰よりもわかっているつもりです。
今まで行っていたパスワード管理がどれほど甘かったのかを反省して今ではしっかり防御しています。
ゆらぎママその防御方法について
お話しますね
記事の結論
- パスワードは長く複雑なものにする
- パスワードは使いまわさない
- パスワードは自分で管理しない
シンママちゃんパスワードは
自分で管理しない?
ゆらぎママパスワードについて
詳しく解説していきますね
\ 覚えるパスワードは1つだけ/
総当たり攻撃とは?
総当たり攻撃(Brute Force Attack)とは、ハッカーがターゲットのアカウントやシステムに不正アクセスするために、あらゆる可能なパスワードの組み合わせを試す攻撃手法のことです。
この攻撃は、短時間で大量の試行を行うためにコンピューターの処理能力を利用します。
例えば、「123456」「password」といったよく使われる簡単なパスワードや、短い文字列で構成されたパスワードは、この攻撃に非常に弱いと言えます。
シンママちゃん私は名前と誕生日だわ
総当たり攻撃は基本的な攻撃手法ですが、その効率性とコンピューター技術の進歩により、大きな脅威となっています。
悪い人コンピューターを使えば
簡単に突破できるのさ
総当たり攻撃の仕組み
総当たり攻撃は、基本的に次のような手順で行われます。
- ターゲットを特定する 攻撃者は、ターゲットのアカウント情報(ユーザー名やメールアドレス)を把握します。
- パスワードの候補を生成する 攻撃ツールが文字や数字、記号のすべての組み合わせを自動的に生成します。
リスト型のデータ(パスワード辞書)を用いる場合もあります。 - 試行を繰り返す ツールが生成したパスワードを1つずつ試し、正しいものを見つけるまで繰り返します。
- パスワードが突破される 一致するパスワードが見つかれば、攻撃は成功となり、アカウントが乗っ取られる危険性が高まります。
シンママちゃんまさに総当たり攻撃だ!!
パスワードがバレたらどうなるの?
まずパスワードがバレたらどうなるのかお話します。
私の場合は全てのアカウントが乗っ取られたことによる金銭被害と警察への対応や各サービスへの連絡等、それに一番は精神的ダメージで本当に大変な目に遭いました。
その被害についての記事はコチラです。
金融機関・証券会社のパスワードがバレたら?
銀行内や証券会社内に預けている資金が抜き取られてしまいます。
場合によっては借金を作られてしまう可能性もあります。
シンママちゃんお金を盗まれるだけでなく
借金とかありえない!
ショッピングサイトのパスワードがバレたら?
クレジットカードを利用して買い物をされてしまいます。
送り先は個人情報である自分の住所を書き換えられていますので当然あなたの元には届きません。
その場合は、買った覚えもなく、品物も手に入らないのにクレジットの借金だけが残ることになります。
シンママちゃん高いものを買われたら
大変!!
SNSのパスワードがバレたら?
悪質な書き込みやつぶやきをされてしまうかもしれません。
更にあなたの友人にフィッシングメールを送り更に被害を拡大させる可能性もあり、あなたの信用がガタ落ちになります。
シンママちゃん友達に迷惑をかけることに
なるなんてイヤだ!
パスワードを突破されていいことなんて一つもないです。
悪いパスワードとは?
破られたらとても恐いパスワードですが、パスワードを作るときはついつい自分が覚えておきやすいものを選びがちです。
簡単にいうと「人の頭で思い浮かぶもの」は破られやすいです。
人がつい使ってしまいがちな悪いパスワードの例
- 短い (8文字未満)
- 辞書に載っているような単語を使用する (「himawari」や「star」など)
- 一般的なフレーズを使用する (「有限実行」「七転び八起き」など)
- 個人情報(配偶者、お子様、ペットの氏名、生年月日など)を利用する
- 覚えやすい「パス」(0000、123456、abcd など)を使用する
シンママちゃん私は自分の名前と誕生日
ダメなやつだ!
ゆらぎママ私は8桁の数字の羅列で
簡単に破られました(苦笑)
良いパスワードの条件は?
逆に良いパスワードの条件とは、ズバリ自分では覚えられないような長くて複雑なものです。
お勧めされるパスワードの3箇条
- できるだけ長くする
- 複雑にする
- 使いまわさない
この3つを全て満たすものが良いパスワードとされています。
ゆらぎママ実は長さがとても重要なんです
できるだけ長く複雑にすることが防御力を高める
今のパスワード攻撃は人間が考えておこなっているのではありません。
全てコンピューターで破っているのです。
ゆらぎママ「ブルートフォース」
といいます
「ブルートフォース」はパスワードとして可能な文字列を総当たりで試すという攻撃です。
例えば4桁の暗証番号をパスワード(パスコード)に使用している場合、「0000」~「9999」の1万種類の組み合わせを全て試すことで、必ず正解にたどり着くことになります。
人力で実施するのは困難ですが、コンピュータでは、1万とおりを瞬時で解読できるといわれています。
この総当たり攻撃をされるとパスワードがどれくらいの時間で破られてしまうのかを長さ(桁数)別に表にしました。
参照Home Security Heroes AIツール「PassGAN」による解析結果
黄色い枠は瞬時、もしくは1ヶ月以内には突破されてしまうパスワードです。
私は楽天のパスワードを突破されたのですが、その時のパスワードは数字8桁でした・・・。
シンママちゃんアチャ~~~
瞬時だね…
「自分と関係のない数字だからわからないだろう」と安心していたのですが、人間が考えて解析すると思っていたことがそもそもの大間違いです。
コンピューターにかかれば瞬殺ですね。
シンママちゃん数字だけのパスワードは
絶対にダメだね
数字と小文字と大文字と記号を組み合わせても9文字なら2週間で突破されてしまいます。
長さがとても大事であることがこの表からわかると思います。
シンママちゃんたとえ数字だけでも18桁なら
10カ月もかかるんだもんね
パスワードを使いまわさない
パスワード攻撃の一つである「パスワードリスト攻撃」というものをご存じでしょうか?
攻撃者があらかじめ何らかの方法で入手した、サービスやシステムのIDとパスワードをリスト化したデータを利用し、不正にWebサイトへの不正アクセスを試みるという攻撃方法です。
パスワードリスト攻撃を受けてしまう原因としては次のようなものがあります。
- ユーザーのID・パスワードの使いまわし
- フィッシングによるパスワードリストの漏えい
インターネットを利用するユーザーは、複数のサイトで共通したID・パスワードを用いてる人が多いです。
シンママちゃん私も楽天もアマゾンも
Yahooも全部同じだわ
複数のサイトで同じアカウント情報を使いまわしていると、攻撃者はその利用者の複数のサービスのアカウントを乗っ取り、個人情報を搾取したり、不正送金をしたりしやすくなってしまいます。
私はこの攻撃のせいで、楽天以外にもLINEやメルカリなどのアカウントを乗っ取られました
シンママちゃん1つ乗っ取りにあっただけでも
落ち込むのに、幾つもなんて
ショックすぎる
また攻撃者がパスワードリストを入手する手段の一つに、フィッシングが挙げられます。
フィッシングは、メールやSNSなどで正規の企業や組織を偽ってフィッシングサイトと呼ばれる偽装サイトへ誘導し、IDやパスワードなどを入力させる詐欺のことをいいます。
こうしたフィッシングを通じて仕入れたID・パスワードのリストをパスワードリスト攻撃に利用している可能性があります。
そのため、フィッシング被害も原因の一つと考えられます。
シンママちゃんときどき銀行からのメールと
思って開きそうになるわ
ゆらぎママフィッシングメールには
本当に気をつけて下さい
\ 覚えるパスワードは1つだけ /
パスワードの管理を「1Password」に任せた方がいい理由
長くて複雑で使いまわさないパスワードが良いということはわかりました。
でも・・・
シンママちゃんそんなパスワード
覚えられるわけないよね?
シンママちゃんしかも全部違うものに
するなんて無理よ
そうです。
ゆらぎママだから私は
「1Password」という
パスワード管理アプリに
任せています
シンママちゃん1Password?
覚えるパスワードはたった1つでいい
「1Password」は世界1500万人以上のユーザーに指示されているパスワード管理サービスです。
複数のパスワードを一つのアプリで一括管理できるのです。
あなたが覚えておくのはそのアプリを開くための「マスターパスワード」たった1つです。
シンママちゃん1つだけなら覚えられるわ
安全性の高いパスワードを自動生成してくれる
「1Password」はランダムなパスワード・覚えやすいパスワード・暗証番号を自動で生成してくれます。
「ランダムなパスワード」は8文字から100文字まで選べて、数字や記号を入れるか入れないか選べます。
「覚えやすいパスワード」なら3語から15語、区切りもハイフンなどから数種類選べます。
「暗唱番号」なら3数字から12数字まで自動生成してくれます。
パスワードを作るときに何の文字をどれだけ使えばいいのかという悩みを解決してくれます。
シンママちゃんこれならいくつでも
パスワードを作れるわ
\覚えるパスワードは1つだけ /
パスワード漏洩の原因は人為的ミス
そもそも個人情報を盗まれたり、IDやパスワードを漏らしてしまう原因をご存じでしょうか?
原因の多くは「フィッシング」や「ショルダーハッキング」なのです。
シンママちゃんショルダーハッキング?
ショルダーハッキングとはその名のとおり、肩越しに盗み見されること。
パソコンにIDとパスワードを付箋で貼ってる人もよくいますよね(笑)
みんなにあなたのIDとパスワードが漏れているということです。
そのような人為的ミスを起こさないために、自分でパスワードを管理しないことが大切なのです。
ゆらぎママ自分よりも
「1Password」の方が
ミスをしないのです
シンママちゃん確かに…(笑)
フィッシング対策
フィッシングとは、金融機関などの名前を詐称した電子メールを送りつけたり、偽の電子メールから偽のホームページに接続させたりするなどの方法です。
クレジットカード番号、アカウント情報(ユーザID、パスワードなど)といった重要な情報を盗み出す行為のことです。
最近では、電子メールの送信者名を詐称し、もっともらしい文面や緊急を装う文面にして送ってきます。
このようなSMSを受信したことありませんか?
シンママちゃんあるある!
思わずクリックしそうになる!
また接続先の偽のWebサイトを本物のWebサイトとほとんど区別がつかないように偽造するなど、どんどん手口が巧妙になってきており、ひと目ではフィッシング詐欺であるとは判別できないケースが増えてきています。
ゆらぎママ自分では見破れない
サイトが増えています
フィッシング対策をするには必ず正しいWebサイトにログインをすることです。
「1Password」を利用するとあらかじめ登録しておいた正しいWebサイトにログインできるので、偽サイトに個人情報を入力することを防ぐことができます。
ゆらぎママWebサイトに
ログインするときに
1Passwordから入れば
正しいWebサイトに入れます
ショルダーハッキング対策
「ショルダーハッキング」とは、パスワードなどの重要な情報を入力しているところを後ろから近づいて、覗き見る方法です。
ゆらぎママ単に肩越しに覗き見ることです
ショップの店員さんなどはクレジットカードの暗証番号を入力するときには顔をそらして見ないように配慮してくれていますよね。
しかし、店員さんではなくひょっとしたら後ろに並んでいるお客さんが覗き見てるかもしれません。
シンママちゃんそれはあまり
考えたことなかったわ
たとえオフィス内であったとしても、キーボードでパスワードなど重要な情報を入力する際には、周りに注意しなければなりません。
ショルダーハッキングの対策としては、キーボードで入力しなければいいのです。
「1Password」を利用すると「…………」と隠されたパスワードをコピーして貼り付けるだけでOKなのでバレる心配はありません。
シンママちゃんそれなら安心だわ
\ 覚えるパスワードは1つだけ/
まとめ
良いパスワードの条件は次の3つを全て満たすものでした。
- できるだけ長くする
- 複雑にする
- 使いまわさない
ただその3つを満たすものは自分の頭の中の記憶量的に非常に難しいです。
そしてパスワード漏洩の原因のほとんどが人為的ミスですので、本当の対策としては自分で管理しないことなのです。
「1Password」は安全なパスワードを自動生成してくれて、全て覚えていてくれます。
あなたが覚えておくのは「1Password」を開くマスターパスワードたった1つだけ。
正しいサイトのログイン画面に案内してくれて、パスワードも自動入力してくれたり、コピペで簡単に入力できます。
自分よりミスがない「1Password」は、これからのネット社会において欠かせないツールです。
シンママちゃんパスワード管理は
1Passwordにお任せだね
ゆらぎママ大切な資産を守るために
パスワード管理アプリを
ぜひ利用してくださいね
「1Password」の安全性についての記事はこちら
にほんブログ村
コメント