Note1280x0670_テンプレートのコピー

パスワード使いまわし?死ぬぞ。

みなさん、クラウドサービス使っていますか?

Youtube、Google、Facebook、Twitter、Instagram、などなど。
今の世の中、だいたいの問題を解決してくれるSaaSサービスが世の中に転がっていて、仕事・私生活問わず使わないなんてことはありえない。
どっぷりです。

画像2

そんな皆さんに質問です
スマホに登録されてるアカウントの数、数えてみたことありますか?

例えば、私の所有しているアカウント数は1500くらいあります。

スクリーンショット (2)

…はい、これは極端な例ですが、
普通にスマホを所有している人なら10~20ほど
がっつり活用している人なら50~100近くあってもおかしくありません。
(例外はあります。もちろん。)

…これ、どうやって管理してます?

画像3

え、同じのを使いまわしてるよ?

パスワード、覚えたくないですよね。
8桁以上の文字列を複数覚えるなんて考えたくもない。

うん、よくわかるよ。

だから、同じメールアドレスとパスワードの組み合わせを、色々なサービスで使いまわしてる?

おめでとうございます、死亡が確定いたしました。

…はい、詳しく説明していきましょう。

無題のプレゼンテーション

パスワード使いまわしはなぜ死ぬのか

「パスワードスプレー攻撃」
という攻撃手法があります。

どこかから流出した、アカウント情報を入手して、

無題のプレゼンテーション (1)

そのアカウント情報が、
他のサービスでも使えないか確認していくという手法。

無題のプレゼンテーション (2)

詳しい話はどうでもいいのですが(よくない)、

この攻撃の難点は
「どこか一か所でも漏れれば全滅」
ということ。

一発でアカウントが乗っ取られます。

そして、
どこからでも情報は洩れます

そして、
その情報は犯罪者間でシェアされます。

流出しても、そんな危なくなくない?

とても危ないです。
ほんとに。

個人レベルでも、
「プリペイドカード買ってきて」詐欺に利用されたり、
フィッシング詐欺などの入り口として使われたりします。

これが法人のアカウントならもっと悲惨です。

例えば、Googleアカウントを乗っ取られたら、
mailのやりとりを監視・犯罪利用されます。

例えば、Wordpress のアカウントを乗っ取られたら、
自社サイトがマルウェアをばら撒く詐欺サイトの仲間入り

例えば、Dropbox のアカウントを乗っ取られたら、
機密情報などが全てインターネットの闇へ流出します。

え、じゃあどうすんのさ。

解決策はいくつかあります。

「全部にそれぞれ違うカギを使う」→ パスワードマネージャー
「複数の鍵がないと開かなくする」→ 多要素認証
「安全な1つの鍵に集約する」→ Googleでログイン(SSO)

「沢山パスワード覚えるのなんて無理だから、覚えなくても安全にしようぜ!
が今のセキュリティのトレンド。

とはいえ、
多要素認証も、
SSOも、
全てのサービスが対応しているわけではないのが現状。

エンジニアがちゃんと構成を考えたり、
お金をかけたりできないのであれば、
パスワードマネージャーに多要素認証するのが最強。
異論は認める。

おススメ

オープンソースのパスワードマネージャ
「bitwarden」はいいぞ!

おおむね必要なことは無料でできる!(二要素認証とか)
組織で使っても、1Password・Lastpassなど他サービスより安い!


詳しいパスワード漏洩の対策の仕方などが気になる場合は、
気軽にご相談ください!


この記事が気に入ったらサポートをしてみませんか?