あなたのパスワードは安全?
所有するすべてのアカウントで、1~2 個のパスワードを使い回していませんか?もしそうだとしたら、おそらくあなたのパスワードは十分に安全であるとは言えません。単語、数字、文字を覚えやすいように組み合わせたパスワードを「マスター パスワード」として複数のアカウントで使い回す行為はごくありふれたもので、多くの人がこのような使い方をしています。Google が実施したセキュリティ調査によると、回答者の半数以上は 1 つのパスワードを複数のアカウントで使い回しており、13 % に至ってはすべてのアカウントで同じパスワードを使用していました。パスワードの使い回しは、改めるべき悪習です。パスワードは、アカウントごとにすべて違うものを設定しなければなりません。
パスワード攻撃の種類
パスワードをハッキングする方法は 1 つではありません。複数のパスワードを使い分けることは、こうしたハッキングからアカウントを守るための重要な対策になります。パスワードの攻撃方法には次のものがあります。
- 総当たり攻撃:名前から想像されるとおり、力尽くでパスワードを推測しようとする攻撃です。これは、あまり使っていないアカウントのパスワードを忘れてしまったときに、心当たりのあるパスワードを片っ端から試してみるという誰もが経験のある行為と似ています。ハッカーは原理的にこれと同じことを、プログラムを組んで自動的に行います。機械的に実行するので、単純なパスワードであればほんの数秒で破られる可能性があります。
- リスト型攻撃:ウェブサイトから漏洩したユーザー名とパスワードのリストを使って、別のウェブサイトへのログインを試みる攻撃です。攻撃者は、リスト上のメール アドレスからウェブサイトのアカウントを特定し、同じくリスト上のパスワードでそのアカウントにアクセスできるかどうかを確認します。パスワードを使い回しているユーザーは相当な数に上るため、リスト型攻撃の被害は、最初に侵害を受けたウェブサイトを起点にかなりの広範囲に及ぶ可能性があります。
- フィッシング攻撃:フィッシング攻撃を受けたが、だまされずに見破ることができたという人は多いでしょう。しかし、毎回必ず見破れるとは限りません。フィッシング攻撃は、銀行などからの連絡を装って相手をだまそうとする詐欺攻撃です。何らかの問題を解決するためだといって、クレジット カード番号などの機密情報を入力するように求めてきますが、多くの場合「お金が戻ってくる」などのうまい話で相手をだまそうとします。ここで要求された情報を渡してしまうと、万事休すです。銀行などからこのようなメールを受け取っても鵜呑みにせず、直接銀行に問い合わせて本物のメールかどうかを確認するようにしてください。
- 辞書攻撃:総当たり攻撃に似ていますが、この攻撃では、よく使われる一般的な単語を辞書に登録して、パスワードの推測に使用します。パスワードが 1~2 個の一般的な単語で構成されている場合、辞書攻撃を耐え抜くことは困難でしょう。
パスワードの安全性を守るためのベスト プラクティス
オンラインで自分の個人情報や活動の安全性を守るために「すべきでないこと」については、すでに説明しました。では、それらを守るために「すべきこと」とは何でしょうか。パスワードの安全性を守るためのベスト プラクティスを簡単にご紹介します。
安全性の高い一意のパスワードを使用し、決して使い回さない
安全性の高いパスワードとは、一意のパスワード、つまりそのユーザーやアカウントが他では使用していないパスワードのことです。パスワードは、決して他の場所では使わず、他のアカウントやユーザー名への関連付けもしないでください。一意の強力なパスワードを作成するには、次の要素を組み合わせる必要があります。
- 大文字
- 小文字
- 記号(!#%$*)
- 数字
- 16 文字以上の長さ
常識的に考えてみましょう。あなたはハッカーではないかもしれませんが、5 文字のパスワードは 20 文字のパスワードよりもはるかに推測が簡単であり、キーボードのアルファベットの並びをそのまま使う「qwerty」も破られやすいというのはおわかりいただけると思います。また、文字の代わりに似た形の数字や記号を使う、たとえば「O」の代わりに「0」、「B」の代わりに「8」、「S」の代わりに「$」を使うのもやめましょう。加えて、可能であれば 6 か月ごとにパスワードを変更し、オンラインの個人情報の安全性をさらに高めましょう。やり過ぎだと思われるかもしれませんが、オンライン セキュリティに関しては、用心するに越したことはありません。
パスワード管理ツールの使用
そこでパスワード管理ツールの出番です。ハッキング プログラムに対抗するには、やはり人間よりも同じプログラムのほうが効果的でしょう。たとえば、パスワード管理ツールを使うと、「&*Td^zJxsQkF」という非常に強力なパスワードを生成できます。同じようなパスワードは手動でも作成できますが、人間の癖は簡単に予測できてしまいます。人間は、キーボード上でどれほど無作為に手を動かそうとしても、つい同じような動きをしてしまうのです。
2 段階認証を使う
2 段階認証とは、アカウントにアクセスする際に 2 つの安全な手段(通常は複数のデバイス)を用いることを言います。一般的なのは、第 1 段階でパスワードを入力し、第 2 段階では、SMS で送られてきた 1 回限りの認証コードを入力するという方法です。この他には、アカウントに紐付けられた携帯電話番号に自動通話する方法や、アカウント作成時とは別のメール アドレスに認証コードを送付する方法もあります。2 段階認証は、ハッカーがアカウントへの不正アクセスに成功したとしても、同じユーザーの携帯電話番号や第 2 のメール アドレスを入手できる可能性は低い、という考え方に基づいています。Dropbox では、オプションで 2 段階認証をアカウントに適用できるので、SMS やモバイル認証アプリを使ってドキュメントを二重に保護することができます。
信頼の置ける安全なサイトやファイル ホスティング サービスを利用する
ウェブサイトの通信が保護されている場合、ブラウザのアドレス バーに小さな鍵のマークが表示されます。買物や個人情報の共有など、サイトで何かするときは、この鍵マークが表示されているかどうかを先に確認するようにしましょう。現在では、大半のサイトでこのマークが表示されますが、ファイルやフォルダをオンラインでホストする場合は、より強固なセキュリティを備えているサイトのほうが安心です。たとえば Dropbox では、暗号化を実施し、厳格なコンプライアンス基準に準拠することで、多層のクラウド セキュリティを実現しています。
公衆 Wi-Fi や安全でない Wi-Fi は使わない
公衆 Wi-Fi ホットスポットは、誰でも利用してインターネットに接続できる Wi-Fi ですが、誰かが悪意を持ってこのネットワークに接続すれば、いとも簡単に他のユーザーを悪用できてしまいます。基本的なルールとして、銀行の口座情報やクレジット カード番号などの情報は、絶対に公衆 Wi-Fi ホットスポットから送信しないようにしましょう。
パスワードの安全性を保つことは大変重要です。そのためには、ここに挙げた注意点を習慣として常に実践する必要があります。私たちは人間であり、記憶できるパスワードの数には限界がありますが、パスワード管理ツールを使えば、個々のパスワードを覚える必要がなくなります。パスワードの安全性については、どれだけ注意してもしすぎることはありません。仕事でファイルを共有する企業やフリーランサーや、友人とファイルをやり取りする個人ユーザーなど、Dropbox は、あらゆるユーザーのセキュリティを最大限に尊重します。
