2013年08月13日

危険なログインパスワードを避けよう

ポイント制のアンケートモニターに登録する際には、アンケートサイトのマイページにログインするためのログインパスワードを設定します。
このログインパスワードはモニター会員が好きな文字列で設定して構わないのですが、セキュリティ上の観点から何点か注意が必要です。

注意1:ログインパスワードを使いまわさない
注意2:ログインパスワードは解析されにくい、強固なものにする
以下に詳しく説明します。


注意1:ログインパスワードを使いまわさない
まず第一に、アンケートモニターのログインパスワードを他サイトのパスワードと使いまわさないことです。
近頃、大手ポータルサイトから利用者のメールアドレスとパスワードが流出してしまう事件が後を絶ちません。
有名どころでは、2013年5月にYahoo Japanのサーバーに対して不正なアクセスが行われ、最大2200万件のID情報が流出しました。
その際、148万人分のパスワードと「秘密の質問」が流出した可能性があると報じられています。
また、2013年7月にOCN ID用サーバー(NTTコミュニケーションズのサービスを受けるためのアカウント)から、最大400万件のメールアドレスと暗号化済みパスワードが流出した可能性があると報じられました。
この流出後、ネット接続サービス「OCN」で756件の認証パスワードが不正に変更されたことが確認されています。
さらに同月、LINEの「NAVER」サービスに不正アクセスがあり、170万件の会員情報が流出した可能性があると報じられました。

このように、大手ポータルサイトに不正アクセスがあって個人情報が流出してしまった場合、パスワードを他のサービスと使いまわしていると、損失を負うリスクが高くなります。
特に、ネットバンキングや有料の会員サービス、アンケートモニターのように、重要な個人情報を登録するサイトでは、パスワードを使いまわさず、サイトごとに異なるパスワードを設定すべきです。
特にアンケートモニターの場合、フリーメールのパスワードを使いまわすことだけはやめておいた方がよいです。
アンケートモニターの会員IDは本登録時に入力したメールアドレスであることが多いので、パスワードの使いまわしは大変危険です。
どういうことかと言いますと、パスワードを使いまわしていると下記(5)のような二次被害が発生する可能性が高まります。

<アンケートモニターとフリーメールのパスワード使いまわしが危険な理由>

 前提1:フリーメールを使ってアンケートの依頼を受信している
 前提2:フリーメールのパスワードとアンケートモニターのログインパスワードを使いまわしている
   ↓
 (1)フリーメールのアドレスとパスワードが流出する
   ↓
 (2)第三者がフリーメールに不正にログインし、受信履歴を見る
   ↓
 (3)アンケートモニターに登録していることが受信履歴から第三者にバレたとき、
    第三者は不正入手したフリーメールアドレスとパスワードでアンケートサイトの
    マイページにログインしようとする可能性がある
   ↓
 (4)パスワードを使いまわしていた場合、アンケートサイトに不正にログインされてしまう
   ↓
 (5)本名、生年月日、住所、電話番号などの重要な個人情報が流出してしまう(二次被害)

サイトごとに異なったパスワードを設定していた場合は、すぐに突破されてしまう安易なパスワードにしていない限り、二次被害を受ける可能性は低いです。
フィルモア・アドバイザリーの調査によると、ネットサービス利用者のうち、67%もの人がパスワードを使い回しているそうです。
ついついパスワードの管理が面倒で、同じパスワードを使いまわしてしまう気持ちも分かりますが、これは不正アクセスの脅威が増している今、大変危険です。


注意2:ログインパスワードは解析されにくい、強固なものにする
これはアンケートモニターに限らず、パソコン使用時に設定する全てのパスワードについて言えることです。昨今、パスワードの高速解析ソフトなどが出回っており、私たち素人が思っている以上に簡単に、第三者はパスワードを解析することができてしまいます。
パスワードを破る方法には、総当たり攻撃(ブルートフォースアタック)、辞書攻撃(ディクショナリアタック)、事前計算攻撃(レインボー攻撃)などがあります。「1111」「abcd」などといった安易なパスワードはすぐに破られてしまいますので、これらの攻撃に強いパスワードをこちらで設定しておく必要があります。
詳しい説明は省略しますが、危険なパスワードの例と強固なパスワードの条件を箇条書きにしておきます。気になる方は参考になさってください。

【危険なパスワードの例】
・数字、英数字(小文字)、英数字(大文字)、記号のうち一種類だけで構成されている 「1549」「aceg」「ACEG」「@@@@」
・同じ数字、英字で埋めたり、数字、英字を順番に並べたりしている「1111」「0123」「aaaa」「abcd」
・文字数が少ない(8文字未満)
・単純な単語で構成されている「hello」「iloveyou」

【強固なパスワードの例】
・数字、英数字(小文字)、英数字(大文字)、記号を混ぜて構成されている「f19A@b49」
・文字数が長い(8文字以上)「Akgi49@fiue9D」

ポイントなのが、英数字の小文字、大文字のどちらも使い、なおかつ数字と記号も盛り込むことです。
同じ文字数のパスワードでもいろんな種類の文字を入れることで解析される可能性がグンと下がります。
文字数は単純に長ければ長いほど解析されにくくなります。
ただ、あまりに長いパスワードや意味のない文字の羅列は本人が覚えられなくて管理が大変です。
意味のある単語を単純に使うのは危険ですが、一般的には関連がない単語同士を繋げて使えば、そしてその間に記号や数字を盛り込めば強固さは確保できますので、マイルールを作って単語をパスワードに組み込むのがおすすめです。
それも英単語ではなく、日本語をローマ字に直す形でパスワードに組み込むのが良いと思います。
例:×apple ○ringo
例えばですが、私がタマ(tama)という10歳の猫(neko)を可愛がっているとして、
TaMaNeKo10@というパスワードを作れば、本人には覚えやすいですが第三者にはなかなか解析できない文字列となります。

安全なパスワードの設定について参考になるサイト
ネット上のパスワードが8文字以上の理由
セキュリティ調査レポート Vol.3 パスワードの最大解読時間測定 【暗号強度別】
パソコン初心者講座 安全なパスワードとは
posted by tama at 01:03| アンケートモニターについて