※当ページはアフィリエイトプログラムによる収益を得ています。

パスワードの古い慣習と過ちについて

パスワードはアカウントやWEBサービスなど多方面で使用しますが、同じパスワードを使い回すとパスワードを破られた際に芋づる式にアカウントや権限を乗っ取られるリスクが高まります。

そのため個別にパスワードを設定し管理する方法や習慣が提唱され、企業によっては社内ルールとして遵守させるケースも一般的となっています。

しかしパスワードハックの手法は日々進化しており、パスワードを扱う人の無意識な行為が逆に危険を招くこともあります。そこで今回はパスワードの古い慣習と過ちについてご紹介します。

定期的なパスワード変更はハッキング被害に遭いやすい

2003年に初めて提唱され、その後爆発的に普及した定期的なパスワード変更を行うというハッキング対策は現在でも多くのWEBサービスなどで残っています。

しかし、実際にはハッキング被害に遭遇する確率が上昇することが分かっており、2017年には提唱者自ら間違った対策だったと訂正しています。

パスワードが更新されたアカウントは実際に使われているアクティブなユーザーとしてハッキングの対象になりやすく、ユーザーアカウント情報が大量流失した際は直近にパスワードを変更したアカウントから狙われたケースがあります。

定期的なパスワード変更を強制しても特定のフレーズや過去に使用したパスワードを使い回しがち

定期的なパスワード変更の弊害はハッキング被害に遭いやすいだけでなく、パスワードを推測されやすくなるというデメリットがあります。

これはユーザーが強制的にパスワードを変更させられた際に過去に使用したパスワードを流用して忘れにくくするケース、既存のパスワードに数字などを付け足すことでパスワードの規則性を持たせて推測しやすくなるケースが非常に多かった為です。

ブラウザやパスワード管理ソフトウェアで管理していなければより覚えやすい方法に依存してしまうのは致し方ないことですが、それを誘発しやすい定期的なパスワード変更は非常に恐ろしい行為と言えます。

添付ファイルのパスワードを別途メールで通知することにセキュリティを向上させる効果はない

添付ファイルをパスワード付きで圧縮した上でメール添付し、解凍パスワードを別メールで送信する方法は2020年現在も多くの企業で行われています。業務ルールに定めている企業も珍しくありませんが、セキュリティの向上は一切期待できません。

それはこの二度手間を増やす作業はファイルの誤送信防止を目的としているからです。万が一、間違った相手に添付ファイルを送信してしまっても解凍パスワードを別途送る前にユーザーが気付けば情報漏洩を防止できる点を期待した手法に過ぎません。

しかしパスワード解析が容易になった現在では解凍パスワードを短時間で解析することが可能であり、誤ってファイルを送信してしまった時点で情報流出と言えます。

セキュリティ面から見れば、添付ファイル付きのメールだけを傍受されることは希で、基本的には全てのメールを傍受される事例が圧倒的多数でありパスワードを別途メールで送信する意味は皆無です。

ファイルのやり取りを安全に行うならゲストアカウント機能があるストレージサービスがお勧め

ファイルをメール添付で送信するとメールサーバー、受信したパソコンそれぞれに漏洩や覗き見られるリスクがあります。これらのリスクを回避するならゲストアカウント機能があるストレージサービスが有効です。

事前にゲストアカウントを発行して通知しておけば必要なファイルだけを任意のタイミングで公開可能です。もしゲストアカウントを乗っ取られた際も取り戻しやすく、アクセス元もIP等の記録が残り事件性が高いケースでも事件として捜査が可能なため重要なファイルを送る際は検討することをおすすめします。

まとめ

パスワードの管理は重要ですが、実際に運用する人間の心理を考慮することもまた重要です。ブラウザやパスワード管理ソフトに頼らないパスワード運用は古いパスワードの使い回しやパスワードの内容に規則性を持たせがちなため、非常に危険です。

近年は機械的にパスワードハックを行い、人力では追いつけない早さでアカウントを乗っ取られる被害が増えており安易で古いパスワード管理の見直しが迫られていると言えるのではないでしょうか。

• ドスパラのデスクトップおすすめランキング
• ドスパラのノートPCおすすめランキング
• ドスパラの評判をTwitterで調べてみた

 - ブログ