パスワード使い回しの実態
多くの調査で、インターネットユーザーの半数以上が複数のサービスで同じパスワードを使い回していると報告されています。利用するWebサービスの数は年々増加しており、すべてに異なるパスワードを設定するのは確かに大変です。
しかし、パスワードの使い回しは最も危険なセキュリティ習慣の一つです。その理由を具体的に見ていきましょう。
なぜ使い回しは危険なのか
クレデンシャルスタッフィング攻撃
あるサービスから流出したメールアドレスとパスワードの組み合わせを、他のサービスに自動的に試す攻撃です。攻撃者は流出したデータベースをダークウェブで入手し、ボットを使って大量のサービスに自動ログインを試みます。
ダークウェブでは、流出した認証情報のリストが安価に取引されていると言われています。あなたのパスワードが含まれている可能性は決して低くありません。
連鎖的な被害の拡大
1つのアカウントが乗っ取られると、そこから連鎖的に被害が拡大します。
- ショッピングサイトのアカウントが乗っ取られ、不正購入される
- メールアカウントが乗っ取られ、他サービスのパスワードリセットが行われる
- SNSアカウントが乗っ取られ、知人にフィッシングメッセージが送られる
- クラウドストレージが侵害され、個人データが流出する
安全なパスワード管理の方法
パスワードの使い回しをやめるために、以下の方法を実践しましょう。
パスワード管理ツールを使う
パスワード管理ツールは、すべてのパスワードを安全に暗号化して保存し、必要な時に自動入力してくれるツールです。覚える必要があるのは、管理ツールのマスターパスワード1つだけです。
- 1Password — 高機能で使いやすい(有料)
- Bitwarden — オープンソースで無料プランあり
- Apple Keychain — Apple製品ユーザー向け(無料)
- Google パスワードマネージャー — Chrome/Android連携(無料)
二要素認証(2FA)を設定する
パスワードに加えて、もう一つの認証手段を設定することで、パスワードが漏洩しても不正ログインを防ぐことができます。
特に重要なアカウント(メール、銀行、SNS)には必ず二要素認証を設定しましょう。SMS認証よりも、認証アプリ(Google Authenticator、Authy)の方がより安全です。
まず今日やること
すべてを一度に変更する必要はありません。まずは以下から始めましょう。
- 自分のメールアドレスが流出していないかチェックする
- 最も重要なアカウント(メール・銀行)のパスワードを変更する
- その2つのアカウントに二要素認証を設定する
- パスワード管理ツールをインストールする
完璧を目指す必要はありません。今日1つのアカウントを安全にするだけでも、リスクは大幅に減少します。