パスワードはオンラインアカウントへアクセスするためのいわば鍵のようなものですが、多くの人はそのパスワードを疎かに扱っています。現に、8億4700万以上のパスワードが世に晒されてアクセスできるため、ハッカーたちは複雑なパスワードクラッカーを使わなくても、簡単に ID やクレジットカード番号、その他の詐欺行為を行うことができてしまうのです。そのため、複数のアカウントに同じパスワードを使ってそれを何年も更新していない場合は、被害に遭う可能性が大いにあります!
そこで本記事では、オンラインアカウントを効果的に保護するために必要なパスワードに関する5つのステップをご紹介します。
ステップ1:強力なパスワードの作成
セキュリティー侵害の被害を受けやすいパスワードは、 「123456」、「password」、「12345」、「12345678」、「qwerty (キーボードの横並び)」など、単純で誰でも予想できてしまうものです。もちろん、サイバー犯罪者はこのようなパスワードを簡単に推測でき、多くのオンラインアカウントがあっという間に危険にさらされてしまいます。
そこで専門家は、以下のようなパスワードを作成するよう推奨しています。
- 最低12文字以上
- 数字、記号、大文字、小文字を含む
- 辞書に載っている単語やその組み合わせでない
- 「passw0rd」のような、推測しやすい文字や数字の置き換えに頼らない
ただ、「x$tg@8EmW[%9=Af`」のようなパスワードだと、並外れた記憶力がない限り、覚えられるものでないという問題が出てきます。
この解決策の一つとして挙げられるのは、文法的に正しい順序ではない4つ以上のランダムな単語を組み合わせて、強力で覚えやすいパスワードを生成する方法です。これらの単語はそれぞれ分けると意味が通じますが、フレーズ自体が長くなるため、コンピュータがそのフレーズを推測するには、短いランダムな文字の羅列よりも時間がかかります。
ステップ2:パスワードを使い回さない
TeleSign の調査によると、大抵の人(54%)は保有しているすべてのアカウントに対し、5つ程度のパスワードを使っており、調査に参加した2,000人のユーザーを平均すると、24のオンラインアカウントを守るために、たった6つのパスワードしか使っていないことがわかりました。となると、ハッカーは一度のデータ流出で、複数のさまざまなアカウントに侵入することができてしまいます。
しかし、これはアカウントごとにパスワードをそれぞれ設定し、一度使用したパスワードは使いまわさないようにすることで、こうしたセキュリティ上の問題を回避することができます。
例えば、銀行口座のパスワードと SNS アカウントのパスワードは違うものにすべきです。そうすれば、SNS サービスが侵害されたとしても、ハッカーが同じパスワードを使って銀行口座にアクセスすることはできません。
もちろん、さまざまなパスワードを使い分ける際は、それを全て記憶するのが最大の難関となります。
そのような時は、パスワードマネージャーを使うことで、そういったパスワードをまとめて簡単に管理でき、アカウントごとに違うパスワードを使い分けることができます。
また、アカウントでそれぞれ違うユーザー名を使うのも良い方法です。
同じユーザーネームを使っていると、ハッカーがさまざまなサービスにログインしてアクセスしようとするのがさらに簡単になります。ユーザー名は完全にランダムである必要はありませんが、ランダムにしておくことで推測が難しくなります。
ステップ3:定期的にパスワードを更新する
TeleSign の調査によると、21%の人が10年以上同じパスワードを更新せずに使っており、47%の人が少なくとも5年前のパスワードをそのまま使っていることがわかりました。そのような古くなったパスワードは、あまり認識されていませんが大きなセキュリティリスクです。
データ漏洩の増加により、このような古いパスワードの多くがハッカーに晒されているのが現状です。
HaveIBeenPwned によると、データ漏洩で流出した実際のパスワードは、8億4,700万件以上あり、その中にはメールアドレスと対になっているものも多く含まれています。
ちなみに、自身のメールアドレスやパスワードが漏洩しているかは、https://haveibeenpwned.com でデータベースを検索することができます。
パスワードは、例えば、誕生日が来るたびに銀行のパスワードを更新したり、年度が変わるたびに SNS のパスワードを更新するなど、定期的に更新するのが良いでしょう。
ステップ4:2FA(二要素認証)を使う
2FA(二要素認証)で、パスワード以上のセキュリティ層が得られます。2FAに対応しているサービスを利用している場合は、サイバーセキュリティ攻撃の大部分を防ぐためにそれを設定することを強くお勧めします。
また、2FA には種類がいくつかあります。
- ハードウェアトークンは、30秒ごとに新しい数字コードを生成するキーフォブのようなデバイスであり、アカウントにアクセスする際、デバイスを見てコードを取得し、入力することができます。これは多くの企業で取り入れられています。
- ソフトウェアトークンは、アカウントに接続された Google や Microsoft のアプリで作成される同様のコードであり、アカウントにアクセスするときは、アプリを開いてコードを取得し、コードを入力してアカウントにアクセスします。
- SMS メッセージは、ログインを試みた後に一度限りのパスコードを受信するのに使うことができます。ユーザーの携帯電話にアクセスできなければ、ハッカーはこれらのパスコードを盗み見することができないため、安全性が向上します。
2FA は、追加のセキュリティ層でアカウントを保護するのに大いに役立ちますが、攻撃に対して無敵というわけではありません。
例えば、騙されてハッカーに 2FA コードを提供して、それを彼らが利用できる状態になっている可能性があります。あるいは、すでにあなたの Google や Microsoft のアカウントは侵入されているかもしれません。このような問題の発生を防ぐためには、より広範なサイバーセキュリティ戦略を用いることが重要です。
ステップ5:パスワードを安全に共有する
多くの中小企業では、従業員間でのパスワード共有が必要です。アプリの中には1つの組織で多くのユーザーに対応するものもありますが、1つのログインにしか対応しなかったり、追加ユーザーごとに追加料金がかかるものもあります。そのため、例えば余分なアカウント費用を払いたくなかったり、従業員が数人しかいないような中小企業は、アカウントアクセスを共有したくなるかもしれません。
そして残念なことに、多くの企業が共有の Google シートやスプレッドシートにパスワードを保存し、そこに共同でアクセスしています。この方法は、誰かのアカウントがたった1つ侵害されるだけで、企業のパスワードとアカウントが全て漏えいしてしまうことから非常に危険です!
TeamPassword は、チームメンバー間でパスワードを安全に共有できるようにデザインされています。また、このソフトウェアはパスワードマネージャーとして機能し、必要なパスワードを自動入力したり、新規登録用の安全なパスワードを簡単に生成して記憶することができます。さらに、誰が特定のパスワードにアクセスしたかのログを見ることもできます。
14日間の無料トライアルにサインアップして、その機能をぜひご確認ください!
まとめ
パスワードはオンラインアカウントへアクセスするためのいわば鍵のようなものですが、そのパスワードを疎かに扱っている人が非常に多いです。本記事で挙げたヒントを心に留めておくことで、セキュリティ侵害の被害者になる確率が最小限に抑えられ、機密情報や大金の損失から身を守ることができるのです。
