Bizコンパス

あなたのパスワード漏れています~今どきのユーザー認証事情
2019.04.29

利用者・開発者・運営者が知っておくべきパスワードの裏側

あなたのパスワード漏れています~今どきのユーザー認証事情

著者 すずきひろのぶ (鈴木裕信)

 パソコンのブラウザからも、そしてスマートフォンからも、いろいろなクラウドサービスやウェブサービスを利用する時、パスワードを使って利用者の認証を行う方法は今日でも主流だ。

 一方でクラウドサービスやウェブサービスのパスワードが、あちこちで大量に漏れているという厳しい状況がある。つまり、パスワードは使わなければならないが、その使っているパスワードがどこかで漏れている、という矛盾ともいえる状況にある。

 今回は、パスワードがいかに脆いものであるかを示し、パスワードの仕組みの理解と問題点を議論した上で、今日重要なパスワード認証の鍵となっている二要素認証について考察してみる。

 

漏えいし続けるパスワード

 少なくとも読者諸氏において、まったくクラウドサービスもウェブサービスも利用していない、という人はまずいないであろう。たとえばビジネスユーザのための世界最大のSNSであるLinkedInにアカウントを持っている方も多いであろうし、筆者もアカウントを保持している。

 そのLinkedInは2016年に164,611,595件のパスワードが漏えいを認めている。2012年に既に外部からの不正アクセスでパスワード情報が漏えいしており、その4年後に、そのパスワード情報がダークウェブのようなアンダーグラウンドで流通していたのが発見され、初めて知ることとなった。

 ファイルをクラウド上に保管、あるいはファイルのやりとりをするのに大変便利なDropboxを使う読者も多いのではないだろうか。Dropboxも2012年以降パスワード68,648,009件が流出していることが発覚し2016年8月にすべての利用者のパスワードを強制変更するという手段に出た。

 もっとも衝撃的だったのが2019年1月に知られることとなった”Collection #1”と呼ばれるアンダーグラウンドで流れていたデータセットである。これにはメールアドレスとパスワードの組み合わせが772,904,991件含まれている。

 過去にどのような漏えいケースがあったのか興味のある方はhaveibeenpwned.com の漏えいサイトの一覧に掲載されているので、自分の目で直接確認するのが良いだろう。もちろん、ここに掲載されているケースは氷山の一角である。

 ここからもわかるように、1つのパスワードを複数のサイトで使い回していると、どこかのサイトがパスワード情報を流出させてしまえば、他のサイトすべてでリスクが発生してしまう……というよりアウトである。あとは不正にログインされるのが早いか、自分でパスワードを変更するのが早いかの問題になってしまう。

 ちなみに日本国内ではセキュリティ関連組織や企業が協力して「STOP! パスワード使い回し! キャンペーン 2018」 (期間 2018年8月1日~ 2018年8月31日)という啓発活動をおこなっていた。

 

どうすれば安全なパスワードが生成できるのか

 それでは利用者側はどうやってパスワードを作れば良いのか。ここでは… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

すずきひろのぶ (鈴木裕信)

すずきひろのぶ (鈴木裕信)

80年代よりUNIXやネットワークのエキスパートとして活躍し90年代よりコンピュータセキュリティに携わる。現在は業務アプリケーションにSELinuxを適用し安全性を高める研究に従事。近著「マジメだけどおもしろいセキュリティ講義 事故が起きる理由と現実的な対策を考える (Software Design plusシリーズ)」絶賛発売中

関連キーワード

SHARE

関連記事