パスワードの管理は大事 パスワードに頼らないことも重要
今、パスワードの流出による不正アクセスが問題視されている。
そのせいもあって、ネットサービスに登録するのは怖いと思っている人も多いのではないだろうか?
さすがにそれは考えすぎだと思う。
本人確認について、適切な知識を手に入れよう。
アカウントを悪用されないようにしよう。
パスワードの使い回しが危険な理由
いま最も気をつけたいのは、パスワードの使い回しをしないことだ。
最近では、使い回しを警告するアプリも増えてきた。
パスワードを使い回していると、大変なことになる。
仮に、あなたの身の回りの鍵が全部、4ケタの数字だったとしよう。
家も、車も、自転車も、あるいは銀行口座も、全部同じ4ケタのパスワードによって守られている。
今、パスワードを盗み見された。
すると、盗み見た人はあなたの全財産にアクセスできてしまう。
これがパスワードの使い回しの恐ろしさである。
パスワード自動生成を使おう
とはいえ、パスワードをいくつも覚えられないだろう。
そこでオススメしたいのが、パスワードを自動で作ってくれる機能だ。
インターネット閲覧ソフトのChromeやiPhoneのSafariでは、その機能が標準でついている。
新規パスワードを入力する画面になると、強力なパスワードを提案してくる。
Safariの場合は、長すぎるパスワードを提案してしまう場合があるのが玉に瑕だ。
作成されたパスワードは、パスワード管理ソフトに保存されるので、覚える必要がない。
パスワードが思いつかない・覚えられないという人は、ぜひパスワード自動生成の機能を使ってほしい。
パスワードを複数のサービスで使い回すと、流出したパスワードで他のサービスも乗っ取られてしまう。
パスワード管理ソフトの自動生成機能で強力なパスワードを作り、保存しよう。
2種類の鍵
現実世界の鍵の話に戻ろう。
空き巣対策で、家の玄関に2種類の鍵をつけるという人もいると思う。
これには、泥棒の侵入をあきらめさせる効果がある。
2種類の鍵をつけるのは、インターネットも同じだ。
最近では、2種類の本人確認を使った「2段階認証」が増えている。
2段階認証とは言っても、パスワード管理ソフトのせいもあって、1段階になっている感はある。
だが、基本ソフトiOS 12のパスワード管理機能では、「パスコード」がないとパスワードの呼び出しができない*1。
これにプラスして、下に示すような認証が行われるのは、2段階認証といえるだろう。
SMS認証:携帯の持ち主だけが使える
アカウントに登録された携帯電話を持っている人は、本人の可能性が高い。
電話番号を使ったSMS(ショートメール)に「認証コード」を送れば、本人確認ができる。
- ショートメールが送られてくる。
- そこに、1回きりの認証コードが記されている。
- 送られてきた人は、ログインページに認証コードを入力する。
万一IDとパスワードが流出しても、本人の携帯電話が手元になければ、ログインできない。
むしろ最近では、パスワードをなくしてSMS認証だけにする企業もある。
というのも、会員サイトの不正アクセスは、流出したパスワードを他のサイトで入力する手口が有名だ。
パスワードがなければ、この手口は使えない。
いずれにしても、誰もが携帯電話を持っている現代社会においては、極めて有用な識別方法である。
アプリ認証:スマホアプリに確認がいく
スマホのアプリを開くことで、本人であることを確かめる。
例えば、Googleで2段階認証をオンにすると、Gmailアプリから「ログインしようとしていますか?」という通知が来る。
アプリを開いたら、ログインを試みている場所が表示される。
はいを押すことで、ログインが承認されるという仕組みだ。
他にも、オフラインでも認証コードを作れるアプリなど、Googleは周到な準備をしている。
鍵を共有する他の端末に確認をとって、不正アクセスではないことを確かめる。
アプリ認証はそうやって成り立っている。
物理キー(セキュリティキー)
文字や番号ではなく、専用の装置を使った認証方法がある。
物理的な鍵(セキュリティキー)を読み込んで、本人であることを確認するのだ。
セキュリティキーは、Google、Dropbox、Facebookなどがすでに対応している。
特別な設定をすると、手元にキーがなければログインできなくなる*2。
ハッキングや不正ログインは外部から行われる。
現物が必要な物理キーには、ある程度の効果があると言えるだろう。
生体認証:自分しか持っていないもの
技術の発達で、パソコンやスマホでも生体認証が可能になった。
指紋や顔認証を使って、支払い用アプリなどを保護できる。
ただし、代わりとしてパスコードを入力できるので、完璧ではない。
とはいえ、普段から生体認証を使っていれば、パスコードが流出する可能性は極めて低い。
クレジットカードなどの悪用は防げる。
もちろん、誰かに脅されて自分の生体情報を使わされた場合は、その限りではない。
例えば、警察当局がスマートフォンの情報を見るために、むりやり指紋を押させることも考えられる*3。
生体認証はあくまで、スマホを盗まれたなどで他人の手に渡った場合の予防策である。
自分しか使えないことが重要
インターネットの鍵と現実世界の鍵の大きな違いは、自分だけが使えるかどうかだ。
家の鍵は家族数人で共有することもある。
スーツケースの鍵も、家族で共有していたら、家族全員が知っているかもしれない。
現実の鍵にはコミュニティ内での秘密の共有とか、他者からの防御という要素があるのだろう。
一方で、インターネットの鍵は本人しか使えないことが前提になってきている。
本人しか持っていない指紋やスマホの電話番号で、他人のなりすましではないことを確かめる。
つまり、インターネットの鍵は本人確認の意味合いが強い。
可能なサイトでは、ぜひ2つ以上の要素を組み合わせてログインするようにしてほしい。
たとえ家族であっても、他人がログインできるようにしてはならない。
ネット上では、2種類の鍵を使った二段階認証が増えている。
これにより、ネット上の本人確認がより確実になった。
SMS認証:本人が持つ携帯電話に認証コードの載ったショートメッセージが届く。
アプリ認証:本人が持つアプリに確認の通知が届く。
セキュリティキー:専用の物理的な装置がないと、ログインできない。
生体認証:本人の顔や指紋を使ってログインするが、本人にむりやりログインさせる脅迫行為には弱い。
アクセスできなくなる方が危険
最近では不正なログインを検知したら、知らせてくれる機能もある。
だが、それを止められるのは、あなたがログインできた場合の話だ。
もしかしたら、知らないうちにクレジットカード情報が盗まれているかもしれない。
それから、ログインできずに捨てたアカウントへの不正アクセスも十分怖い。
そうならないためにも、
- 全てのアカウントにログインできるようにする
- サイト・アプリごとにパスワードを別々にする
- 不正なログインを防止する設定にする
ことが大事である。
