電子メールや、LINEなどのメッセージアプリの読み書き、ショッピングサイトなどを利用するに当たり、各サイトでID・パスワードによるユーザー認証がありますが、よく「パスワードの使い回しはやめてください」旨の注意喚起があります。
これは、どこかのサイトでID・パスワードの組み合わせが流出し、ID・パスワードの組み合わせが闇サイトで公開されることがあります。この組み合わせで他のサイトでも同じID・パスワードが利用されている可能性が高いことから、これを利用して不正にアクセス・ログインできてしまう(所謂、辞書攻撃)という危険性からです。
こういった対策のため、サイトにより以下のような対策が取られているところがあります。
- 二要素・二段階認証(SMSやGoogle認証アプリでの追加認証など)
- パスワードレス(ワンタイムでパスワードの利用など。ヤフーやdアカウント(NTTドコモ)の認証など)
しかし、まだまだIDとパスワードだけで認証するサイトも多くあります。
こういった元凶は、IDにメールアドレスを利用すると、IDが固定されてしまい、ユーザーがパスワードを覚えられないので、いくつかのパターンでパスワードを使いまわしてしまい、結果的にIDとパスワードの組み合わせパターンができてしまうためです。
こういった危険性に対応する一案をまとめます。
ID・パスワード認証の使い回しから逃れる方法
ID・パスワードの組み合わせパターンから逃れるためには、以下の2つの方法があります。
- パスワードをサイトごとに変える
- IDをサイトごとに変える
パスワードをサイトごとに変える
これは「パスワードの使い回しをやめる」ことと同じです。
Google ChromeやSafariでは、複雑なパスワード作成機能があります。これを利用します。
複雑な文字列ですので、ユーザーは覚えられません。
これらのパスワードは、ChromeやSafariに保存すると、GoogleアカウントやiCloudキーチェーンで保管、PCやスマホなどの端末間で共通が可能になります。
これによりパスワードを使い回すことはなくなります。
課題が2点あります。
- パスワードの保管を許可していないサイトは利用できません。
- 利用環境を変えると(普段ChromeでもSafariを利用するなど)、全て再登録する必要があります。
IDをサイトごとに変える
IDはサイトごとに設定方法が異なりますので、それぞれのパターンで見ていきます。
個別にIDを発行するサイト
銀行などは、個別にログインIDを発行しているところが多いですが、これは、必然的にIDを変えている形になります。
IDがユーザネームのサイト
こういったサイトは、個々に変える必要が出ます。
同じユーザーネームを使わないよう注意が必要です。
IDがメールアドレスのサイト
メールアドレスは必然的に固定されてしまいますので、サイトごとにメールアドレスの使い分けが必要になります。
Gmailでは、エイリアス機能を利用してサイトごとにメールアドレスを設定します。
サイトにより、アカウント名に使えない文字が設定されている可能性があるので、注意が必要です。
メールアドレスの使い分けにより、認証だけでなく、電子メールによるフィッシングの検出にも役立ちます。なぜなら、そのサイトしか設定してないメールアドレスを使用している場合、それ以外のメールアドレスにそのサイト情報が着信すると、着信したメールは明らかに悪意のメールと見做せるからです。
おわりに
ID・パスワードの固定した組み合わせから逃れる方法をご紹介しました。
ID・パスワードの認証が続く限り、こういった対策(できれば両方やったほうが良いです)が必要になりますね。
▼関連記事
コメント