パスワードがバレた場合の影響は？

Twitterにハッキング、侵入にYahoo!メールを利用 - ITmedia エンタープライズ

このハッカー曰く。

 「Twitter管理者の1人がYahoo!アカウントを持っており、わたしは秘密の質問に答えることでこのアカウントのパスワードをリセットした。それからメール受信箱でTwitterのパスワードを見つけた」

昔ながらのソーシャルエンジニアリングによって、ID/パスワードを入手したというものだ。

このハッキング事件の場合、Twitterの管理者が、Yahoo!メールにTwitter管理者のパスワードを置きっぱなしにしていたことで、Twitter全体が情報漏えいの危険と不正利用の危険にさらされてしまった。

様々なシステムで使っているパスワードの１つがバレると、『芋づる式』にIDとが知られてしまうということ。　最初にパスワードを知られてしまったシステムが単なる情報収集サイトのものだったとしても、ひょっとしたらオンラインバンキングが不正利用されてしまう可能性もあるかもしれない。

自分がいくつのパスワードを持っているか、棚卸してみた。

mixi
Facebook
Twitter
Excite
Yahoo
Google
ITMedia
趣味のサイト会員　複数
オンラインDPE　複数
オンラインバンキング、オンライン証券等　複数
プロバイダ　アクセス　複数
マイレージ、ポイント関連　複数
会社のシステムやメール等　複数
など

ざっと数えて、３０以上はありそうだ。

小生の場合、これらのパスワードは、個々に変えているつもりであるが、一部は同じパスワードを使っているものもあった。　　　人によっては、多くを同じパスワードとしている場合も少なくないのではないだろうか。

また、あまりに多く、覚え切れなくなったIDとパスワードをどのようにメモしているかも、セキュリティ上重要だろう。　　PCの中にEXCELなどでメモしている人も多いのではないだろうか？　この場合、PCのハードディスクを覗き見されただけで、全てのIDとパスワードを知られてしまう。

さらに、多くのサイトで利用されている、パスワードを忘れてしまった場合の秘密の質問と答え。　これも、絶対安心とはいえなさそうである。　例えば、『母親の旧姓』や『以前飼っていたペットの名前』なんて、ちょっと調べると判ってしまいそうだ。

もっと恐ろしいのは、これらネット上のパスワードと、キャッシュカード／クレジットカードの暗証番号との共通性だ。　判ってはいるけれど、同じような数字列を使っている人も少なくないのではないだろうか？

厳重なセキュリティシステムであっても、ほんの小さな穴から破られてしまうものである。　その穴の一つが、個人個人のパスワードの管理だということを、再認識させられる事件だった。