非常に危険な、同じパスワードの流用

多くのWebサービスで情報の流出が止まりません。流出したサービスと同じIDとパスワードを、別のサービスでも利用している方は要注意です。

この機会に、全てのWebサービスのパスワードを独自のものにすることをおすすめします。このページではKeePassとDropboxを利用したパスワード管理方法を紹介します。

Webサービスによる情報の流出事件

Evernoteの不正アクセスによる全ユーザーパスワードのリセット
Yahoo!BBから460万件の個人情報が流出
ネットショップから複数社のクレジットカード情報が流出
AnonymousによるSONYサーバへの侵入
iPhoneやAndroidの人気アプリから100万人単位の個人情報流出
トロイの木馬による政府機関のサーバ情報流出
ウイルスによるネットバンクのダミーサイトへの誘導
認証局の不正証明書の発行など…

このようにありとあらゆるWebサービスから情報は流出しています。
かつて堅牢と言われたサービスも、信頼できる状況ではありません。

これらの最大の問題は、ほとんどの場合「利用者に落ち度がない」ということです。サービスの提供側で対策が取られない限り、利用者は防げません。

もしも複数のWebサービスで同じユーザー名とパスワードを指定していれば、1つのサービスから情報が流出した時点で、すべての情報が流出したのと同じ意味を持ちます。

各種情報はWebサービス側で暗号化されていますが、現在ハッカーの利用する道具の前では無力です。「こちらの記事」で、その能力が取り上げられています。

4Uラックマウントサーバー5台、AMD Radeonグラフィックスカード25枚搭載で、通信速度は最大10Gbps。これでパスワード解読プログラムを走らせればな～んと毎秒3480億通りのNTMLパスワードハッシュが解析できちゃう！

もしもどれか1つのWebサービスに脆弱性が見つかり総当たり攻撃に遭えば、12桁の暗号化されたパスワードもたやすく破られてしまいます。

「被害を完全に防ぐこと」ができないなら、せめて被害を最小限に抑えるために、「利用するサービスごとにパスワードを変更」して、自分の情報を守りましょう。

しかし利用するサービスの数だけパスワードを覚えるのは大変です。かといってディスプレイにパスワードを書いた付箋を貼り付けたり、メモ帳にパスワード一覧を書いては余計なリスクを増やすだけです。

この機会に「パスワード管理ソフト」の導入をお勧めします。
このページでは無料でマルチデバイスに対応した「KeePass」について解説します。

KeePassのインストールと日本語化

1.「KeePassの公式サイト」よりダウロード。
ダウンロードしたインストーラーを利用してインストールしてください。

2.「公式の言語ファイルのページ」から日本語ファイルをダウンロードします。

3.ダウンロードした日本語ファイルを解凍してインストールしたKeePassフォルダに保存します。（通常C:\Program Files\KeePass Password Safe）
保存できたら、同フォルダにある「KeePass.exe」をダブルクリックして起動します。
「View ＞ Change Language」をクリックして「Japanese」を選択します。

アラートが出るのでOKを押すと、KeePassが再起動して日本語になります。

KeePassの使い方

1.ファイルから新規作成をクリックすると「新しいパスワードデータベースを作成します」というウィンドウが出るので、「マスターパスワード」を入力して「OK」ボタンをクリックします。

（キーファイル〈鍵にするファイル〉を選択する方法もありますが、後述するiPhoneやMacなどマルチプラットフォームで利用する場合に都合が悪いのでパスワードのみで運用します）

2.するともう一度パスワードの入力を求められるので入力します。

3.デフォルトでいくつかのグループが用意されています。そのまま使うか「編集」メニューから新しいグループを追加します。続いてメニューから「編集＞エントリーの追加」で新しいパスワードのセットを追加します。

4.タイトルやユーザー名など入力します。

5.新しくパスワードを入力する場合は、「ランダムパスワードの生成」ボタンをクリックすれば、複雑なパスワードを自動で生成できます。

6.「パスワード生成」ウィンドウで文字数と文字の組み合わせを選択したら「生成」ボタンでパスワードを作成。
KeePassを利用すればパスワードは覚える必要がないので、許可されている最大の文字数と、利用可能な文字セットを選択します。（後述する「強度の高いパスワードについて」も合わせてご覧ください）

「bit数」はパスワードの強度を表しています。「許諾」ボタンをクリックで確定します。

6.サービスのURLや備考欄を入力して「OK」をクリック。

以上で新しいIDとパスワードが登録できました。
同じようにして全てのパスワードを入力してください。この機会に全てのパスワードを独自のものにすることをお勧めします。（備考欄に変更前のパスワードをメモしておくとトラブルが避けられます）

強度の高いパスワードについて

強度の高いパスワードについて確認しておきます。

1.文字数を増やす

これが単純で1番効果があります。利用するサービスが対応可能な限り多くの文字数で生成します。

2.大文字・小文字だけでなく数字や記号を組み合わせる

KeePassでパスワードを管理すれば、パスワードを覚えておく必要がありません。そのため連続した文字や意味のある単語を利用せず、何の意味も持たない複雑な組み合わせにしてください。

パスワードの強度を知りたい方は、Microsoftの「セキュリティで保護されたパスワードチェッカー」がお勧めです。

パスワードを入力すれば強度を教えてくれます。（12文字以上で強いを目指してください）

KeePassをマルチデバイスで利用する

このままだとWindowsで利用しているGoogleのアカウントをMacやiPhoneで利用する際に、パスワードがわからずログインできなくなります。
KeePassはWindows、Mac、iOSやAndroidにも対応しているため、KeePassのデータベースをクラウドサービスにアップロードすることでデータを共有することができます。

データを共有するクラウドサービスは「Dropbox」や「Google Drive」がお勧めです。

共有するにはインストールした「C:\Program Files\KeePass Password Safe」フォルダをクラウドサービスのフォルダに移動するだけです。

対応しているプラットフォーム

それぞれプラットフォームとデバイスに合わせたKeePassをダウンロードしてください。それぞれのソフトでクラウドサービスにアクセスして、KeePassのデータベースである「Database.kdb」を開けば、データを共有できます。
（この場合、KeePassのマスターパスワードと、クラウドサービスのパスワードは覚えておく必要があります。）