ITシステムを利用するに当たり、パスワードを1つも使っていないという人はほとんどいないはずだ。だからこそ「月に一度、定期的に新しいものに変える」「推測できるような簡単なものは使わない」といったパスワード管理が語られてきた。だが、これまでのパスワード管理の常識はもはや過去のもの。パスワードの定期更新はリスクを高めるだけだ。
2018年もスタート「STOP! パスワード使い回し!」キャンペーン
私たちに最も身近なセキュリティのトピックスといえば「パスワード」だろう。スマートフォンやPCを利用するに当たり、パスワードを1つも使っていないという人はほとんどいないはずだ。パスワードはサービスやシステムを利用する上で、「あなたがあなたである」ことを証明するためのものだ。
つまり、あなたの記憶が「認証の鍵」となる。万が一、あなた以外が鍵を奪って悪用した場合、サービスやシステムはあなたではない誰かを認証せざるを得ない。
Webサービスが攻撃され、IDとパスワードの組み合わせが漏えいする事件が相次いだ。報道されて明らかになる事件だけでなく、パスワードが盗まれたことすら気付けないケースもあるだろう。
複数のサービスで同じパスワードを使い回していればどうなるか。悪意がある者は、いずれか1つのサービスから漏れたIDとパスワードの組み合わせを使って、手当たり次第に他のサービスへのログインを試みる。結果、「正規の方法」で不正ログインを許すことになる。
これが、JPCERTやIPAが毎年「STOP! パスワード使いまわし!」キャンペーンを実施して啓発を続ける大きな理由だ。
あなたが利用するサービスを数えてみてほしい。クラウドサービスなども含めれば、数十のサービスを当たり前のように利用する人もいるだろう。果たして、利用サービスの数と同じだけの異なるパスワードを準備し、全て記憶できるだろうか。恐らく多くの人にとって、「パスワード管理の面倒くささ」パスワードを使いまわすリスクを上回っている。
今回は、パスワードに関係する最新トピックを紹介しよう。パスワードに関連するリスクを把握することで、対策の必要性を考えてもらいたい。
Copyright © ITmedia, Inc. All Rights Reserved.