はてなキーワード: LINE乗っ取りとは
帰省してまとまった時間が取れたから、じゃあ何しようかなって思ってふと、カーチャンのネットに対するセキュリティ意識どうなってるのかなと思ったのです。聞いてみると、丁寧にメモ帳に手書きで残してありました。でも、だんだんと数が増えて面倒になったのか、パスワードの使い回しが散見されていたのです。これはマズイということで、見直しを行いました。その時に考えたことをみんなに共有したくてこの記事を書くに至ったわけです。
LINE乗っ取りの件もあって、ちょくちょくと話題になるけども実際に行動に移していないそこのあなた!
これを期にやってしまいましょう。
なんだかんだで手入力せざるを得ないときはあるため、「頻繁に使うサービス」と「たまに使うサービス」を分けて管理します。
あなたはもう記憶しきれないほどのサービスを使っていることでしょう。だから信頼できるアプリに管理を任せます。
オススメのアプリは世界的に利用されている「1Password」です。ちょっとお高いけど、PCでもiPhoneでも使えるし、ログインを楽に行う機能がいろいろ付いています。Android版もあります。カーチャンに買ってプレゼントしました(父さんは自腹…というのは冗談であんまりネット使わないみたいだから共用)。
たまに使うサービスは、この「1Password」を使って複雑なパスワードを自動生成して、必要なときにここからコピペして認証します。
「1Password」自身にかけるマスターパスワードは、もともと使っていたメモ帳にはっきり書いてもらい、他のは捨てました。代わりに、アプリの使い方や追加/変更するときの手順を書いてあげました。
例えば、Appleのサービスはよく使うため、パスワードを手入力することが多いです(再起動後のStoreとか)。他には、ブラウザのシークレットモードを使ってGmailを他人の端末で一時的にログインして使わせてもらうような場合もあるでしょう。こういう場合のために、自分ルールを作って導き出せるようにします。
ちなみに、Gmailは8文字(警告あり)という条件のみ、Facebookは6文字という条件(最終更新時期の明示あり)のみ、でした。
その中でも大きいのが、「サービスによって記号を使えるかどうかが分かれる点」「入力時には条件がわからない点」「設定できる限界文字数が違う点」です。記号を取り入れることは実はそこまで効果が高いわけではないようなので[要出典]、というか現に「Apple ID」では強制されていないので、記号を使わないことでルール違いの壁を回避します。長いことのほうが重要です。
では具体的にパスワードを決めましょう。例えば、
この例だと具体的には『ma2uda99App1e7yg7yg7』(20文字)となります。しかし、これだと使い回しによる機械的な「パスワードリスト攻撃」を防ぐことができても、人間に見られてしまっては『ma2uda99Goog1e7yg7yg』と推測されてしまいそうです。なので、更に工夫してルールが見えにくいように『Goma2uda99og1e7yg7yg』とします(サービス名の頭2文字を先頭に移動した)。これは例なので、実践する時は自分なりに工夫してくださいね。1年に1度は必ず変更するルールにして、年の情報をうまく混ぜてもいいと思います。
手入力用のパスワードは、多くても5個くらいにとどめておいたほうがいいでしょう。もちろんこのルールで決めたパスワードも「1Password」に登録します。よくわからなくなったら「1Password」を頼ればいいんです。どこぞの航空会社とかでは文字数制限的にこれらのルールが当てはめられなくてどうにもできないんですけどね。。
これを書いていて、やっぱり面倒だな~…と自分でも思いました。そういう場合は全部「1Password」に任せましょう。高くて買えない場合は代替ソフトか、実物のメモまたはiCloudのメモアプリでもいいんです。短くて推測されやすいパスワードを使いまわすよりよっぽどいいです。今はブラウザのパスワード記憶もありますしね。
実際、カーチャンにはさすがにないなと判断してすべて「1Password」に統一してもらいました。
これらを実践すれば、使いまわしていた人は覚えるべきことは増えてしまうかもしれませんが、今までよりも安心して過ごせるはずです。自分の怠惰さとセキュリティリスクを天秤にかけて、どうすべきか選択してください。
また、万が一のために「1Password」に保存した内容のバックアップもしておきましょう。暗号化していないテキスト形式で取り出すこと(エクスポート)ができるので、定期的にそのファイルをZIPにし、マスターパスワードと同じものをつけてローカル保管しておきます。マスターパスワードは、事故に遭ったりしたときに家族に知らせられるようにしておきます。こういった利点もあるんですね。
なお、私自身を特定されたくないのと、もうこれは自分の利益じゃなくて国レベルでちゃんとすべきだと思うのでここに書くことにしました。これじゃダメだ議論をする人やセキュリティにお詳しいあの人やあの人!もっともっと啓蒙してください。あーだこーだ言ってないで、じゃあ具体的にどうするのか優しく提示してあげてください。
この記事よ、広まれ~~!