2007年05月06日

パスワードの使いまわし

パスワードの使いまわし インターネットを使っているといろいろな場所でパスワードの登録を要求されます。私もパスワードを設定させられるたびに考えるのが面倒に思っていたので、他の人たちは毎回新しいパスワードを考えているのかを疑問に思っていました。
 そんな中、ちょうどアンケート作成を代行します(必要なポイント負担します)というのを見つけたので、パスワードを使いまわしているかというアンケートを作ってもらいました。

 「3〜4個のパスワードを使いまわしている」が多いんじゃないか?と予想していましたが、結果は「1〜2個のパスワードを使いまわしている」が3割を上回り(33.7%)トップとなる、驚きのものでした。「3〜4個のパスワードを使いまわしている」は26.1%、「5個以上のパスワードを使いまわしている」は16.1%、「必ず別々のパスワードを設定している」は12.3%、「モリタポ」(無回答)が10.3%です。合計回答数は823票でした。

 私は同じパスワードの使いまわしは非常に危険だと考えています。
 例えばmixiのようなメールアドレスとパスワードの両方の登録を要求するSNSサイトがあったとして、そこに自分のメールアカウントと同じパスワードを設定した場合、SNSサイトの管理者はWebメールなどを使って非常に簡単に利用者のメールアカウントを覗き見ることが可能です。仮にそのパスワードがネットバンキングなどの決済用パスワードと同じであった場合には金銭的な被害の発生までもが考えられます。
 同アンケートへのコメント>>7では実際にメールを覗き見られる被害にあったという人の書き込みがありました。
 Webメールのパスワードだけを取得された場合でも、多くのサイトに搭載されているパスワードリマインダーなどの機能を使って芋づる式にパスワードを盗まれる可能性は否定できません。

 本題からは少し外れますが、海外のSNS系サイトに登録の際HotmailやGmailなどのWebメールアカウントとパスワードを要求するサイトがあります。こういったサイトはプログラムが自動的にWebメールにログインし、Webメールに登録されているメールアドレス全員にサイトの招待状を自動送信する仕組みになっているものです。登録者は意図せず友人や仕事仲間に名前・写真入りのスパムメールを送ってしまうことになり、信用を失う可能性があることで問題になっています。他のサイトに無関係なパスワードを送信しないことも重要です。

ウイルス的SNS、Webメールのアドレス帳からスパム送信
 Taggedではユーザーが登録する際、自分の使っているWebメールのログイン情報を入力するよう、実質的に強要されるという。Taggedはこの情報を使ってユーザーのWebメールアカウントにログインし、アドレス帳にアクセスして、登録された相手に電子メールを送信させる仕組みになっている。

 ほとんど同じパスワードが設定されていることを前提とすると、おとりサイトが出てくることも考えられます。もちろん日本では不正アクセス禁止法違反となりますが、Hotmailのアドレスのみを要求し、自サイトに登録されたものと同じパスワードを試行する業者が出てきてもおかしくはありません。

 パスワードを登録するのは他人にそのパスワードを教えているのと同等な行為にあたる訳ですから、そのパスワードが他のところで使われているものと同じでないようにするのは暗号化等々以前の問題で、最低限のセキュリティー対策です。
 といっても完全に異なったパスワードを考えるのでは利便性が低下してしますので、例えば、基本となるパスワードを用意しておいて、それにサイト毎の固有の文字列を付加する方法が考えられます。
 ベースとなるパスワードを「password」とした場合、Hotmailでは「HOTpasswordMAIL」などとするのが最も簡単で忘れにくいメソッドです。
 他にも>>20では事前に決めておいたフレーズをローマ字モードでかな打ちする方法も提案されていました。これをサイト毎に、例えばHotmailなら「ホットメール」と読んでパスワードは「-Zs/-.」といった感じでベースの文字列の後ろにでも付け加えればより安全です。この場合「password-Zs/-.」という感じにします。逆みかか法とでも名付けられるかもしれません。
 上記のように、部分的にしても重複が生じる場合には、万一どこかしらのサイトから漏洩した場合に備えて「パスワードを登録しているサイト名リスト」を作っておくのも良いかと思います。(もちろんパスワードは書かない)

 サイトを運営する側も利用者は他のサイトと同じパスワードを設定している可能性について十分に考慮しておく必要がありそうです。自分は不正にログインするつもりはなくても、平文のままサーバ上に保存しておいたのでは、そのファイルが漏洩してしまうと危険です。まずは簡単にでも暗号化し、より安全にするには「数字5桁」など他で使えないようなパスワードを要求しておくことが考えられます。

 使いまわしていたり、「芋づる式」になりそうなパスワードの設定をしている人がいたら、ぜひ見直してみてくださいです。



Michitomo - 2007年05月06日 20時38分 | コメント4匹 | トラックバック0羽 | コンピュータ
この記事は | | | |
この記事へのコメント
俺はパスワード2・3個使いまわしてる・・・w
名無しさん - 2007年05月07日 6時52分
パスが覚えられない…
自分の携帯電話の番号が覚えられない…
自分のメアドも覚えられない…


# Linux Wikiのスパム対策よろ
Name_Not_Foundさん - 2007年05月08日 0時08分
結局のところ、忘れず、漏れずの両立は難しいですね…

メールアドレスは素の名前のものが取れるおかげで助かってますが。


>Wikiスパム
対策しますた。手入れがたらず、申し訳ないです。
Michitomo - 2007年05月08日 1時19分

乙です。乙です。
Name_Not_Foundさん - 2007年05月08日 1時54分
コメントを書く
お名前:

コメント:


この記事へのトラックバック
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。