4.3 パスワード
パスワード(Password)は、
匿名性の高いインターネットやコンピュータにおける、
あなた個人を識別する鍵です。
パスワードを盗んでしまえば、
あなたに成りすまして悪事をすることは非常に容易です。
したがって、パスワードは盗まれないよう、しっかりと管理する必要があります。
パスワードの管理はあなた個人の責任です。
ここでは、パスワードをどのように管理すればよいか説明します。
- パスワードをわかりにくいものにする
-
コンピュータに
ログオン(Logon)
するためのパスワードや、
銀行などの金融サイトのパスワード、
ブロードバンド回線の接続パスワードなど、
盗まれては困るパスワードがたくさんあります。
これらの管理などをしっかりしておかないと、
パスワードが盗まれてしまい、
不正に利用されて大きな被害にあうことになります。
- パスワードは記号や数字などを混ぜる
- 音節を構成しないばらばらな文字列にする
- 長め(8文字以上)のパスワードにする
など、容易に推測できないものにします。
パスワードを推測し、
ログオンしようとすることを
パスワードアタック(Password Attack)
と呼びます。
単純なパスワードアタックでは、
a, ab, ac, ... , az, aab, aac, ...
と総当りで試していくものですが、
これは試すのに膨大な回数のログオンが必要になり、時間もかかります。
最近のシステムは連続して何度も失敗すると、
ロックアウト(Lock out : そのユーザが使用できなくなる)
されてしまうものも多いです。
そこで、最近では、
辞書アタック
と呼ばれる高度な攻撃が使われています。
これは、パスワードに使われそうな単語や、
初期パスワードに使用されている代表的な文字列などが集められている特殊な辞書を使って、
効率よくパスワードを推測するものです。
このような手法に対しては、
上記のように推測しにくいパスワードにするように心がけるしかありません。
安全なパスワードを作るヒントは、
安全なパスワードを作るために
開かない場合は SHIFT
を押しながらクリックしてください。
をご覧ください。
ランダムな文字列のパスワードは好ましいのですが、実用的ではありません。
このページではランダムで、かつ実用的なパスワードの作り方を説明しています。
- パスワードを記憶させない
-
Internet Explorer(IE)や Netscape、Opera などをはじめとする
Web ブラウザはパスワードを入力する場面になると、
入力したユーザ名と、それに対応するパスワードを記憶し、
次回からの入力を簡略化する便利そうな機能があります。
これをチェックしてはいけない!
しかし、
この機能は使用すべきではありません。
パスワードを記憶している、ということは、
あなた以外の人も、
パスワードを入力せずにあなたになりすませる
、
ということです。
たとえば、コンピュータを起動したまま席を外していた間に、
そのコンピュータを他人に操作されれば、
あなたのパスワードを知らなくても、
あなたのふりをしてあなたの情報にアクセスすることができてしまいます。
したがって、Web ブラウザなどパスワードを記憶させてパスワードの入力を簡略化させる機能は
絶対に使用すべきではありません。
また、席を離れるときは
デスクトップをロック
するなど、
不在の間に他の人が操作できてしまわないような対策を習慣づけるべきです。
Windows XP では、今までの Windows で使用できた
ALT+CTRL+DEL
で起動する画面ロックが使用できなくなりました。
これは、そもそも、起動直後の「ようこそ」の画面が
Windows XP に追加されたからです。
Windows XP を使用している方は、
画面ロックするフリーソフトウェアを使用するか、
[コントロールパネル]→
[ユーザアカウント]→
[ユーザーのログオンやログオフの方法を変更する]
を開き、オプションの中の「ようこそ画面を使用する(W)」のチェックをはずします。
これによって、「ようこそ」画面ではなく以前のインターフェースに戻り、
画面ロックが使用できるようになります。
- パスワードは紙に書かない
-
破られても被害が出ないようなどうでもいいパスワードはいいのですが、
重要なパスワードは絶対に紙に書いたりしてはいけません。
ましてや、ポストイットでディスプレイに貼ったり、
また、パソコン内のファイルに書き込んでおいたりしないようにしてください。
たまたま、ご自宅に訪れた訪問者が盗み見るかもしれません。
家族の誰かが重要なパスワードと知らずに、
誰かに漏らしてしまうかもしれません
(立ち話で「うちの旦那はパスワードにアイドルの名前なんて入れているのよ。
いやだわぁ〜。」とか)。
パソコンの中に書いたパスワードは、
スパイウェアなどに侵入され、
そのファイルを盗まれてしまうかもしれません。
重要なパスワードは暗記するようにしましょう。
何度もキーボードを打って体に覚えさせることも重要です。
- パスワードを打つところを見せない(見ない)
-
誰か(たとえご家族でも)と一緒にパソコンを操作するとき、
あなたが重要なパスワードを打つところを見せないようにしましょう。
また、パスワードを打つあなたの指運び、キーのタッチ音などから、
パスワードの文字数や実際のパスワードを見抜かれてしまう可能性があります。
たとえ、ご家族であっても気を許してはいけません。
思わず外部の人に漏らしてしまう可能性があるからです。
重要なパスワードはあなた1人しか知らないようにしましょう。
もし、あなたがパスワードを打つとき、
同席していた人がそれを見ていたら、
はっきりと「見ないでください」と言って顔をそらしてもらいましょう。
また、タッチ音から文字数がばれないように
(文字数が確定できるだけでパスワードアタックの成功率は数千倍以上に高まります)、
すばやくパスワードを打つようにしましょう。
また、あなた自身も、他の人がパスワードを打つ場面に遭遇したら、
さっと自ら顔をそむけるなど、心遣いをしましょう。
- パスワードは複数用意する
-
いろいろな場面のパスワードを持つことになりますが、
たくさん作るとどのパスワードかわからなくなります。
その上、パスワードは紙に書くな、と言われると、
できる限りパスワードを統一してしまうのが
人間の性でしょう。
実際のところ、現実的なところで妥協することも必要です。
そこで、パスワードをいくつか用意し、
それをレベル分けして、使用するとよいでしょう。
ちなみに筆者の例を挙げれば以下のように概ね3段階に分けています
(実際には3つ以上使用していますが、
基本原則としてはこれくらいが現実的です)。
| レベル |
用途 |
|---|
| 1 |
一番重要なものに使用するパスワード。
自分のパソコン以外でパスワードを登録するようなシステムには使用しない。
|
|---|
| 2 |
そこそこ重要なものに使用するパスワード。
一般的にネットショップのメンバ登録などで使用するパスワード。
|
|---|
| 3 |
どうでもいいパスワード。
ソフトウェアのユーザ登録や、
掲示板の削除キーワードなど、
他人にばれてもあまり被害が出ないような場面で使用する。
|
|---|
このように分類して、
それぞれの場面で使用すれば、多くのパスワードを管理しなくてもすみます。
ただし、
1つのパスワードが漏洩すると、
そのレベルで使用している他のシステムのパスワードもすべて漏洩したことになる。
というデメリットがあります。
これを十分認識した上で、パスワードの管理をしてください。
- パスワードは定期的に変更する
-
パスワードは定期的に変更する必要があります。
特に重要なパスワードは定期的に変更しなければなりません。
パスワードはいろいろな場面で使用されているため、
いつの間にか盗まれている可能性があります。
ウイルスやスパイウェアに感染すれば、さらに盗まれた可能性は高くなります。
したがって、具体的に盗まれた被害が出ていなくても、
1年に1度はパスワードを変更し、
万が一、盗まれていても、それ以上被害を受けないようにする必要があります。
重要なパスワードもっと頻繁に3ヶ月や1ヶ月に1度などの変更が必要です。
もちろん、ウイルスに感染したり、リモートから操作されてしまった場合は、
そのパソコンに関わるパスワードはすべて一新する必要があります。
上記の紙に書いたパスワードや、パスワードを打つとことの盗み見などは、
一般的には
ソーシャルエンジニアリング(social engineering)
と呼ばれています。
ソーシャルエンジニアリングは、これ以外にも、
- プロバイダ会社の社員になりすまし、電話でパスワードを聞き出す
- 会社のゴミをあさって、個人情報に関係するものを収集する
など、さまざまな手法で盗み出そうとします。
もちろん、聞き出す場合は電話だけでなく、メールということもありえます。
どれにしても、あなた個人のパスワードは、
たとえプロバイダといえども教えてはいけません。
プロバイダ側の管理作業であなたのパスワードが必要になる場面はまずありません。
また、個人情報やパスワード、
メールアドレスなど重要な情報が書かれた紙は細かく裁断するなど、
破棄する方法にも気を配りましょう。