同じパスワードを使い回しても大丈夫?漏えいしたパスワードがどこかで使われる心配
パスワードって覚えるのって面倒くさいですよね?ウェブサービスに新規登録するとき「いつものアレ」を使いたくなります。分かります。面倒ですから。覚えられそうで、かつ、複雑なパスワードなんて思いつきません。
でも、残念なことに使い回しはダメなんです。「クレデンシャルスタッフィング」というサイバー攻撃があります。
知りえたクレデンシャル(認証に必要な情報。ユーザ名とパスワードなど)を他のサービスでもログインできないか試しまくる手法です。「え、それはマズイ!」と思った方もいるのではないでしょうか?
対策は2点。「サービスごとに異なるパスワードを使う」「多要素認証を使う」です。利用者がすぐにできるのは、異なるパスワードを使うことですね。信頼できるパスワードマネジャーで管理します。
一方、多要素認証はサービス側が求めてくるものですが、サービス側も不正ログインを防ぎたいので、最近は多要素認証が必須なことも増えました。これまた面倒ですが、安全のためです…。
なんかどんどん面倒になっていく気もしますが、「パスワードレス認証」の技術も進化しています。(強固な)パスワードはユーザに非常に負担が大きい認証方法ですから、みんな嫌いです。
「人間の記憶に頼る認証方法なんてあったんだ~」という世の中が早く来るといいですね!