非常に危険な、同じパスワードの流用
多くのWebサービスで情報の流出が止まりません。流出したサービスと同じIDとパスワードを、別のサービスでも利用している方は要注意です。
この機会に、全てのWebサービスのパスワードを独自のものにすることをおすすめします。このページではKeePassとDropboxを利用したパスワード管理方法を紹介します。
Webサービスによる情報の流出事件
- Evernoteの不正アクセスによる全ユーザーパスワードのリセット
- Yahoo!BBから460万件の個人情報が流出
- ネットショップから複数社のクレジットカード情報が流出
- AnonymousによるSONYサーバへの侵入
- iPhoneやAndroidの人気アプリから100万人単位の個人情報流出
- トロイの木馬による政府機関のサーバ情報流出
- ウイルスによるネットバンクのダミーサイトへの誘導
- 認証局の不正証明書の発行など…
このようにありとあらゆるWebサービスから情報は流出しています。
かつて堅牢と言われたサービスも、信頼できる状況ではありません。
これらの最大の問題は、ほとんどの場合「利用者に落ち度がない」ということです。サービスの提供側で対策が取られない限り、利用者は防げません。
もしも複数のWebサービスで同じユーザー名とパスワードを指定していれば、1つのサービスから情報が流出した時点で、すべての情報が流出したのと同じ意味を持ちます。
各種情報はWebサービス側で暗号化されていますが、現在ハッカーの利用する道具の前では無力です。「こちらの記事」で、その能力が取り上げられています。
4Uラックマウントサーバー5台、AMD Radeonグラフィックスカード25枚搭載で、通信速度は最大10Gbps。これでパスワード解読プログラムを走らせればな~んと毎秒3480億通りのNTMLパスワードハッシュが解析できちゃう!
もしもどれか1つのWebサービスに脆弱性が見つかり総当たり攻撃に遭えば、12桁の暗号化されたパスワードもたやすく破られてしまいます。
「被害を完全に防ぐこと」ができないなら、せめて被害を最小限に抑えるために、「利用するサービスごとにパスワードを変更」して、自分の情報を守りましょう。
しかし利用するサービスの数だけパスワードを覚えるのは大変です。かといってディスプレイにパスワードを書いた付箋を貼り付けたり、メモ帳にパスワード一覧を書いては余計なリスクを増やすだけです。
この機会に「パスワード管理ソフト」の導入をお勧めします。
このページでは無料でマルチデバイスに対応した「KeePass」について解説します。
KeePassのインストールと日本語化
1.「KeePassの公式サイト」よりダウロード。
ダウンロードしたインストーラーを利用してインストールしてください。
2.「公式の言語ファイルのページ」から日本語ファイルをダウンロードします。
3.ダウンロードした日本語ファイルを解凍してインストールしたKeePassフォルダに保存します。(通常C:\Program Files\KeePass Password Safe)
保存できたら、同フォルダにある「KeePass.exe」をダブルクリックして起動します。
「View > Change Language」をクリックして「Japanese」を選択します。
アラートが出るのでOKを押すと、KeePassが再起動して日本語になります。
KeePassの使い方
1.ファイルから新規作成をクリックすると「新しいパスワードデータベースを作成します」というウィンドウが出るので、「マスターパスワード」を入力して「OK」ボタンをクリックします。
(キーファイル〈鍵にするファイル〉を選択する方法もありますが、後述するiPhoneやMacなどマルチプラットフォームで利用する場合に都合が悪いのでパスワードのみで運用します)
2.するともう一度パスワードの入力を求められるので入力します。
3.デフォルトでいくつかのグループが用意されています。そのまま使うか「編集」メニューから新しいグループを追加します。続いてメニューから「編集 > エントリーの追加」で新しいパスワードのセットを追加します。
4.タイトルやユーザー名など入力します。
5.新しくパスワードを入力する場合は、「ランダムパスワードの生成」ボタンをクリックすれば、複雑なパスワードを自動で生成できます。
6.「パスワード生成」ウィンドウで文字数と文字の組み合わせを選択したら「生成」ボタンでパスワードを作成。
KeePassを利用すればパスワードは覚える必要がないので、許可されている最大の文字数と、利用可能な文字セットを選択します。(後述する「強度の高いパスワードについて」も合わせてご覧ください)
「bit数」はパスワードの強度を表しています。「許諾」ボタンをクリックで確定します。
6.サービスのURLや備考欄を入力して「OK」をクリック。
以上で新しいIDとパスワードが登録できました。
同じようにして全てのパスワードを入力してください。この機会に全てのパスワードを独自のものにすることをお勧めします。(備考欄に変更前のパスワードをメモしておくとトラブルが避けられます)
強度の高いパスワードについて
強度の高いパスワードについて確認しておきます。
1.文字数を増やす
これが単純で1番効果があります。利用するサービスが対応可能な限り多くの文字数で生成します。
2.大文字・小文字だけでなく数字や記号を組み合わせる
KeePassでパスワードを管理すれば、パスワードを覚えておく必要がありません。そのため連続した文字や意味のある単語を利用せず、何の意味も持たない複雑な組み合わせにしてください。
パスワードの強度を知りたい方は、Microsoftの「セキュリティで保護されたパスワード チェッカー」がお勧めです。
パスワードを入力すれば強度を教えてくれます。(12文字以上で強いを目指してください)
KeePassをマルチデバイスで利用する
このままだとWindowsで利用しているGoogleのアカウントをMacやiPhoneで利用する際に、パスワードがわからずログインできなくなります。
KeePassはWindows、Mac、iOSやAndroidにも対応しているため、KeePassのデータベースをクラウドサービスにアップロードすることでデータを共有することができます。
データを共有するクラウドサービスは「Dropbox」や「Google Drive」がお勧めです。
共有するにはインストールした「C:\Program Files\KeePass Password Safe」フォルダをクラウドサービスのフォルダに移動するだけです。
対応しているプラットフォーム
それぞれプラットフォームとデバイスに合わせたKeePassをダウンロードしてください。それぞれのソフトでクラウドサービスにアクセスして、KeePassのデータベースである「Database.kdb」を開けば、データを共有できます。
(この場合、KeePassのマスターパスワードと、クラウドサービスのパスワードは覚えておく必要があります。)
| Windows | KeePass 1.24 |
|---|---|
| Mac | KeePassX |
| iPhone/iPad | MiniKeePass |
| Android | KeePassDroid |
| USBメモリ | KeePassPortable |
クラウドサービスを利用すれば、いつでもどこでも、メモいらずでWebサービスが利用できるようになります。
不特定多数の利用者がいるパソコンでの利用が不安だという方は、KeePassPortableを指紋認証や「TrueCrypt」で守られたUSBメモリにインストールすれば、安全に利用できます。