オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

ヤフーのパスワードと秘密の質問流出を機会に「改めて自分のパスを見直す方法」

»

利用者も多いYahoo! JAPANでの流出、洩れてしまったものの管理体制云々もありますが、とりあえず自分で出来ることだけは「しておくしかない」と思っています。

ヤフー、パスワードと秘密の質問の情報、148.6万件も流出した可能性

今回の不正アクセスについてはすでに17日にヤフーが公表しており、最大2200万件のYahoo! JAPAN IDが流出した可能性があるとしていた。IDのみが抽出されたファイルが作成されているのが見つかったというもので、その時点では、パスワードや、パスワードを忘れた際に必要な「秘密の質問」など、ID以外のデータは含まれていないとしていた。

 しかしその後の調査で、2200万件のIDのうち、148.6万件については、不可逆暗号化されたパスワードと、パスワードを忘れてしまった場合の再設定に必要な情報の一部も流出した可能性が高いことを確認したという。

自分でしておくといっても、信用して預けているわけですし、サービスを受けるために必要な「情報」であるパスワード等は、サービスを受けないと決める以外には、自分で管理出来るものではありません。

最近、流出したパスワードを使ったと思われる、他のサイト等への不正アクセスも起きています。

情報を預けている立場の利用者からすれば、サービス提供側(この記事ではヤフー)の管理体制等になるのですが、ヤフーに限らず今回のような事件が今年はとても多く起きています。

一番簡単な話としては、それらのサービスを利用しないこと。という乱暴な言い方にしかなりません。極端ですが、サービスを受けていないのだから、洩れるものも何もない!ということです。

しかし、便利なネット上のサービスになれてしまった私たちは、せめて自分で出来る方法で管理する以外に手立ては見えません。

「使ってはいけないパスワード」2012年版トップ25、「password」「123456」が上位譲らず

第1位:password (→)
第2位:123456 (→)
第3位:12345678 (→)
第4位:abc123 (↑1)
第5位:qwerty (↓1)
第6位:monkey (→)
第7位:letmein (↑1)
第8位:dragon (↑2)
第9位:111111 (↑3)
第10位:baseball (↑1)
第11位:iloveyou (↑2)
第12位:trustno1 (↓3)
第13位:1234567 (↓6)
第14位:sunshine (↑1)
第15位:master (↓1)
第16位:123123 (↑4)
第17位:welcome (ー)
第18位:shadow (↑1)
第19位:ashley (↓3)
第20位:football (↑5)
第21位:jesus (ー)
第22位:michael (↑2)
第23位:ninja (ー)
第24位:mustang (ー)
第25位:password1 (ー)

さすがに、ここまで・・・とおもいますが、海外の調査ではこんな感じです。かっこの中は2011年のランキングです。

まるごと情報を盗まれてしまえば、123456であろうが、fyf@\h@であっても文字列として出てしまえば、どうにもなりません。ちなみにfyf@\h@の文字がある場所をキーボード上で追い掛けてみると・・・(答えはやってみて下さい)こんな使い方でもパスワードになります。

じゃあ、どれだけ難しくしたところで意味ないだろう!となってしまいますが、上記ワースト25のような安易なパスワードならば、流出しなくとも危険度はです。

何もせず、上記のようなものを使っていれば・・・どうなるのかは「時間の問題では?」と思うのです。

関連ブログ:パスワードの問題が多くあるのに、なぜ変えないのですか?

パスワードを使い回すのは、覚えられなかったり、面倒だったり・・・と、それなりの理由が付いてきますが、自分で守れる部分を放棄して、自分で選択肢を無くしているようなものです。

風邪の予防に「うがい」「手洗い」「マスク」などがありますが、これらを行わずに風邪になっても、職場?通勤途中?・・・誰かから感染したかもしれませんが、誰に文句を言えば済むのでしょうか? 

または、海外旅行へ行って、ズボンの後ろポケットに財布を入れていたり、部屋の見える場所に財布を置いていたり、パスポートを持ち歩き紛失したり・・・いろいろな場面がありますが、これは、盗んだ泥棒が悪いのでしょうか? もちろん悪いのですが、そんな場面を作ってしまった自分にも問題があることを自覚しなければなりません。

■ パスワード作り方のネタ

1.聞こえた音、感じた色を文字に変える

犬の鳴き声も、犬種や大きさによって違いがあります。強く吠える場合と、甘えるような鳴き声も違います。自分で聞こえたものを、そのまま文字に変えてしまえば良いのです。

色についても、人それぞれに見え方が違うものです。黒でも「光沢のある黒」「マットな感じの黒」「深みのある黒」・・・と、色に形容を付けることで、おおくの表現方法が生まれます。

2.好きな歌のフレーズ

そのフレーズの一部分だけを使います。誰もが知ってる「仰げば尊し」ならば、aogbtots・・・とか、かな文字ならば36:@f@s6sd・・・となるはずです。一部のノートPCだと文字の配列が若干違うかも知れませんが、ほとんど大丈夫なはずです。フレーズを忘れることはないので、その部分的なところを摘まんでみます。

3.座右の銘

バカボンパパの「これでいいのだ!」という言葉であれば、krdiind!になります。数字が必要ならば、bybb88のようなものを加えます。歌のフレーズと変わりません。元ネタが違うだけなので、いくらでも応用は効くはずです。パパを88にしたように、似ている文字をあてるのも有効です。こんなのも使えます

■ 秘密の質問の作り方ネタ

パスワードを忘れてしまった時の「秘密の質問」を誰にもわからない答えにする方法

秘密の質問のはずなのに、誰もが知っていそうな「質問」と「答え」のセットだったりします。間違いなくいつでも答えられるのは、正しい組合せですが、ちょっとだけいじってみることも「自己防衛」には必要なことです。

誰しもがわかりそうなものが、秘密の質問になっていること自体が、秘密ではありません。パスワードも秘密の質問にしても、多くの利用者に対して、出来るだけ簡易にしておかないと、ログイン出来ないや、パス忘れたが続発します。簡易といっても、これだけ問題が多くなってくると、今までよりも難しいものに変わってきます。難しいと言っても、パスワード管理がしっかり出来ている人にとっては、なんともありません。

利用者のリテラシーの幅が大きいので、簡易的な使い方ができるようにしておかなければ・・・なジレンマと思っています。

プロフェッショナルな方にも、初心者の方にも、これらの仕組みは同じものが使われます。なら、質問と答えをセットにしない!組合せってどうでしょうか?

1.3つの答えを作っておく

何でもかまわないので、人、食べ物、場所等にしておきます。

人:マイケルジャクソン 食べ物:ハンバーグ 場所:南極

何ら関係のない3つにしました。どんな質問であっても、これらの3つを適当に使い回します。

1つだけルールがあるのですが、人に関する質問の場合は、それ以外の2つの中から利用します。母親の旧姓とか聞かれれば、ハンバーグくらいにしておきます。

2.答えと言っても「文字」なので、そんなに長くなければ、上記パスワードの1.2.3.も応用する

この3つの答えは、人、食べ物、場所に限りません。パスワード項目で上げた法則を使って、応用しましょう。

例えば、フレーズの好きな部分の3文字あとから・・・等の自分だけの法則を使うことで、忘れることもなければ、文字にしたときに何だかわからないものになっていると思います。

3.まず会話等に出てこないような、人に言うことのないものを使う

日常の中で出てきそうなものは避けましょう。本当に誰にも異言えないような秘密でも、単に3つ作った内の1つに過ぎませんし、文字ずらしの法則を使えば、それがなんなのかすらわからないでしょう。

本当の秘密を、そのまま使った場合、流失したときに「おおぉぉ! w(*・o・*)w ○○○だ!」となってしまうので、オススメしません。パスワード法則の1のようにするか、形容をつけて文字をずらして・・・

これらの法則さえ忘れなければ、無限に作ることが出来ると思います。あくまでもヒントなので、応用をして下さい。

セキュリティの専門家が、3つだけの使い回し・・・なんて、一体何を考えているのか?と言われそうですが、安易なものを利用するよりも余程セキュリティ強度が上がります。

こんな法則使わなくともフル活用できる方々ならば、今まで通りの最強法則を使って下さい。と言ってもほとんどの方々は、フル活用できないので、こんな法則でも十分に役に立つと思っています。

また、最近では、3つの使い回しが単純に使えない、2つの質問に答えなければ進めないことが多くなりました。1つの質問ならば、3つのどれかを当てはめれば、突破できますが、2つの質問だと突破出来ませんし、ロックがかかってしまうでしょう。

どのような使い方でも、今までよりも、少しでも。。。忘れずに使える自己流な法則を見つけ出して下さい。

Comment(0)