パスワード管理と不正ログインをされない方法とは

「ログインのパスワードがどれだか分からない…」そんなご経験はありませんか?

便利なウェブサービスの増加に伴い、ログインに必要なパスワードも増えていきます。
ただ、安易にパスワードを設定すると、第三者に不正ログインされる恐れもあります。

本稿では、不正ログイン対策となるパスワード管理についてご紹介します。

なぜパスワードの管理が必要なのか?

そもそも、なぜパスワード管理が必要なのでしょうか?

第三者が勝手にアクセスできないよう、多くのウェブサービスではログイン時に必要なIDとパスワードを設定しています。

ウェブサービスが多用される昨今、個別のIDとパスワードの管理が必要です。
ログインに必要なIDとパスワードはまとめて「アカウント情報」と呼ばれます。

パスワードは、他人に推測されてしまうような安易な設定は禁物です。
かといって、覚えにくいものや、ランダムな設定にしてしまうと、思い出すことが難しくなり、サイトにログインできなくなってしまいます。

しかもパスワードが1つや2つのうちはいいですが、パワスワードが次第に増えてくると、「どのパスワードで開ければいいんだっけ…」と思い出せなくなってきます。

そこで、忘れないようにサイト名、IDやパスワードを紙やファイルにメモすることになります。
すると今度はメモの置き場所を忘れてしまったり、メモそのものを紛失してしまうと、やはりログインができなくなるのはもちろんですが、メモを第三者に盗み見されて、アカウントを乗っ取られてしまっては元も子もありません。

このようなパスワード管理の面倒さから、多くの人はつい同じパスワードを使い回したり,覚えやすいパスワードを設定する傾向にあります。 ですが、後述するようにこれは非常にリスクが高くなります。

重要なウェブサイトに不正ログインされたり、個人や社内で利用しているウェブサービスのアカウントを乗っ取られたりすると、その被害は甚大です。

不正ログインによる被害は、日常茶飯事になっています。
したがって、適切なパスワード管理、つまり鍵の正しい保管方法を知ることが大切になります。

不正ログインされる原因

悪意のある第三者による不正ログインとは、すなわち「パスワードが破られる」ことを意味します。
何らかの方法で、IDやパスワードが盗まれてしまうのです。
ユーザー本人と提供元のウェブサイト以外に知られていないはずのアカウント情報が、どうして漏れてしまうのでしょうか?

その原因には以下のようなものがあります。

フィッシング

実在する組織を名乗り、本物のウェブサイトを装った偽のウェブサイトへのURLリンクを貼ったメールを送りつけ、「ユーザーアカウントの有効期限が近づいています」など理由をつけて、サイトに誘導し、ユーザーIDやパスワードを詐取する行為です。

こちらは、次の企業側からの個人情報の漏洩とは異なり、利用者自身が自分の情報を悪意のある第三者に教えてしまうケースです。

企業側からの個人情報の漏洩

利用しているウェブサイトのログイン情報が、何らかの理由で外部へ漏洩することです。
内部不正やハッキング被害などにあうことで、漏洩が発生します。
2021年も100件程度発生しており、大手企業でもメルカリや全日空などで発生している報告が出ています。
漏洩した情報の件数は、数千件から数千万件とばらつきがありますが、「私が利用しているウェブサイトは大丈夫。」と思える状態ではありません。
漏洩が発覚すると、プレスリリースやウェブサイトから通知が来るので、パスワードを直ちに変更する必要があります。

総当たり攻撃

アカウント情報が第三者に知られていなくても、不正ログインされてしまうケースがあります。

総当たり攻撃は、文字列の可能な組み合わせを全て用いて、理論的にありうるパターンを全てを入力し解読する方法です。

総当たり攻撃の代表例として、「辞書攻撃」があります。
辞書攻撃は、パスワードに使われやすい単語を片端から入力してパスワードを検証する行為です。

簡単なIDやパスワードを利用すると総当たり攻撃によって不正ログインされてしまう場合があります。
よく注意喚起される事例としては、IDを「admin」やパスワードを「1234」などに設定していると、不正ログインを許してしまう原因になります。

パスワードリスト攻撃

パスワードリスト攻撃は、フィッシングや情報漏洩によって知り得た第三者が、他の複数のサイトでも知り得たIDやパスワードを試すことで、正規ルートからの不正アクセスを試みる方法です。
IDやパスワードを複数のサイトで使いまわしている場合に、被害に遭うケースが高くなります。

パスワードの管理のおすすめの事例やサービスの紹介

こうした不正ログインを防ぐにはどうすればよいのでしょうか?
対策として、以下に挙げる方法が考えられます。

複雑なパスワードの利用

通常、パスワードには「第三者に推測されない長く複雑」なものが推奨されます。
ランダムな文字列や、大文字/小文字・数字・記号の利用によって、パスワードを複雑化することができます。

組み合わせを利用した管理

「簡単すぎず、しかも思い出しやすい」適切なパスワードを設定するコツは、いくつかの要素を組み合わせることです。
たとえば、自分にとって覚えやすい文字列・番号・記号を決め、それらをつなげてひとつの「基本文字列」を作ります。

この「基本文字列」だけは、どこにもメモを取らず、覚えておく必要があります。

次に、サイトごとに短い「識別子」を設定し、「識別子」+「基本文字列」をパスワードとします。
「識別子」さえ管理しておけば、記憶の負荷をかけずに複数のサイトへのアクセスが可能です。

SSO

SSOとは「Single Sign On」の略です。
1種類のアカウント情報を入力するだけで、複数のウェブサービスやアプリケーションにログインできる仕組みを指します。

利便性は高いものの、このサービス自体に不正アクセスされると、全ての関連サイトに被害が広がるという難点もあります。

パスワード管理アプリ

アカウント情報を保管し、入力が必要な際にユーザーに代わって自動入力するアプリです。

パスワード管理アプリにログインするためのマスターのパスワードを1つだけ覚えるだけで、他のサイトに関しては、同アプリに保存しているI Dやパスワードでログインが可能なので、複雑なパスワードを設定しても覚えて置く必要がありません。

推測困難なランダムパスワードの自動生成機能を備えるものもあります。

2段階認証

不正ログインを二重に防ぐ方法です。
ウェブサイト側が提供していることが前提ですが、 通常のパスワード認証によるログインに加え、SMSやアプリでのログイン承認や、セキュリティコードの入力、本人にしか分からない「秘密の質問」、顔認証、指紋認証などの方法を組み合わせて安全性を高めます。

まとめ

便利なウェブサービスの増加に伴い、狡猾なフィッシング詐欺やパスワード解析による不正ログイン被害は今や大きな社会問題になっています。

悪意のある第三者に不正ログインされないためには、パスワードの複雑化に加えてパスワード管理アプリや2段階認証の活用で対抗し、パスワード管理を厳重に行いましょう。