【必見】認証パスワードを使いまわさず、すべて違うパスワードを設定する方法


パスワードの使い回しは危険

GmailやFacebook、AmazonなどWebサービスの利用時に必ず使われるのが、ID/パスワードによる認証です。このID/パスワードを同じものにして使いまわすのは大変危険です。同じID/パスワードを使いまわしている場合、一つのサービスから流出したID/パスワードのリストを、別のサービスへ入力し、他のサービスでも不正にログインする「パスワードリスト攻撃」の被害を受ける可能性があります。また、WEBサービスで使われているID/パスワードを特定し、不正にログインし、ユーザー情報を無断で操作して変更を行う手口を「不正ログイン」と呼びます。

YOMIURI ONLINE:JR東日本不正ログイン
http://www.yomiuri.co.jp/it/security/goshinjyutsu/20140917-OYT8T50049.html

YOMIURI ONLINE:LINE乗っ取り「オレオレ詐欺型」も登場
http://www.yomiuri.co.jp/it/security/goshinjyutsu/20140815-OYT8T50176.html

IT pro:ニコニコ動画に不正ログイン攻撃、約220万回の試行で17万円の被害
http://itpro.nikkeibp.co.jp/article/NEWS/20140613/564042/

KIS2015_ブログ記事_2014_12_02_パスワードの使い回しをしない_010

パスワードリスト攻撃

パスワードリスト攻撃とは、「リスト型攻撃」「アカウントリスト攻撃」とも呼ばれる攻撃方法です。ハッカーが何らかの方法で手に入れたID/パスワードのリストを使いWebサイトにアクセスします。ユーザーは同じID/パスワードや、数種類のID/パスワードの組み合わせを使いまわす事が非常に多く、パスワードリスト攻撃の成功率はかなり高いと言われています。

 

EXCELを使って管理する方法

下記のようなファイルを作ることにより、表計算ソフト(KINGSOFT OfficeやEXCELなど)を使ってパスワードを管理することができます。
1.利用しているサイトとサイトに登録したIDのリストを作成します。
2.「1.」とは別に利用しているサイトと登録したパスワードのリストを作成します。
3.「1.」のファイルと「2.」のファイルをパスワード付きのZIPファイルで別々に保存します。(暗号化され別々に保存されます)

※.各サイト毎にID/パスワードば別のものを設定します。

IDとパスワードを分けて保存することにより、どちらか片方のファルが盗まれた場合であっても不正にログインすることができなくなります。

KIS2015_ブログ記事_2014_12_02_パスワードの使い回しをしない_009

不正ログインにあった場合

不正ログインの被害にあった場合は、さらなる被害を防ぐため可能な限り速やかに下記を行ってください。
1.パスワード変更する
2.サービスを提供している事業者のサポート窓口に連絡する
3.アカウントにクレジットカードの決済情報が含まれている場合はクレジットカード会社の窓口に連絡する
4.警察に相談する

 

 

パスワードリスト攻撃を受けないために対策

パスワードリスト攻撃への対策として下記があります。

・ワンタイムパスワード(=使い捨てパスワード)を使う
・生体認証を使う(指紋や静脈などによる認証)
・アクセス制限を行う(特定の端末以外からはアクセスできないようにする)
・すべてのサイトで別のパスワードを設定する

このうちの「ワンタイムパスワードを使う」「生体認証を使う」「アクセス制限を行う」は管理者側で設定するため、ユーザー側では対処することができません。そのため、ユーザー側でパスワードリスト攻撃へ対処する方法としては「すべてのサイトで別のパスワードを設定する」ことが最も確実です。KINGSOFT Internet Security 2015では「パスワード管理」機能が搭載されており、サイト名とパスワードを安全に管理することができます。

 

KINGSOFT Internet Security 2015パスワード管理機能

パスワード管理では下記を行うことができます。
・ID/パスワードの登録
・登録した情報を暗号化して保存
・ID/パスワードのリスト表示
・パスワード生成
・情報のバックアップ

パスワード管理の起動方法

パスワード管理機能は下記手順によりご利用いただくことができます。
1.KINGSOFT Internet Security 2015を起動します。メイン画面が表示されます。
2.メイン画面「ツール」ボタンをクリックします。画面上にルールメニューが表示されます。
3.「パスワード管理」ボタンをクリックします。マスターパスワードの設定画面が表示されます。
4.マスターパスワードを入力し「OK」ボタンをクリックします。ログイン画面が表示されます。
※.各サイトのID/パスワードはマスターパスワードによって暗号化されます。
5.「4.」で設定したマスターパスワードを入力し「ログイン」ボタンをクリックします。
6.パスワード管理機能が起動しメイン画面が表示されます。パスワード管理機能の利用準備が整います。

KIS2015_ブログ記事_2014_12_02_パスワードの使い回しをしない_004

ID/パスワードの登録

アカウントの登録画面から各サイトのID/パスワードを登録することができます。

KIS2015_ブログ記事_2014_12_02_パスワードの使い回しをしない_005

ID/パスワードのリスト表示

登録されたID/パスワードは自動的にリストに追加されメイン画面上に表示されます。

KIS2015_ブログ記事_2014_12_02_パスワードの使い回しをしない_006

パスワードの生成

アカウント登録画面の「パスワード生成」ボタンからは推測されにくいランダムな文字列を生成することができます。

KIS2015_ブログ記事_2014_12_02_パスワードの使い回しをしない_007

情報のバックップ

設定画面の「バックアップと復元」からアカウント情報を暗号化された状態でパソコン内にバックアップすることができます。
(バックアップファイルの読み込みにはマスターパスワードが必要です)

KIS2015_ブログ記事_2014_12_02_パスワードの使い回しをしない_008

KINGSOFT Interent Security 2015は下記URLよりダウンロードすることができます。無料でご利用いただけますのでお試しください。
http://www.kingsoft.jp/is/

KINGSOFT Interent Security 2015の「パスワード管理」を使う方法の他、表計算ソフト(KINGSOFT OfficeやEXCELなど)を使う方法があります。