IDとパスワードを使いまわししてはいけない理由(1)

f:id:boost-up:20171205231802j:plain

ECサイトやブログサイトをはじめ、今日では多くのWebサイトがアカウント登録を要求しています。

興味のあるサービスや情報にアクセスするため、あまり深く考えずにアカウント登録をする人も多いのではないでしょうか。 しかし、ちょっと待ってください。

そのWebサイトは本当に信用できるサイトですか?

あなたが登録したユーザIDとパスワードは本当に安全に管理されるのでしょうか?

あなたは様々なサイトにアカウントを登録する際、それぞれ別のID、パスワードを使っていますか?

アカウントIDに関するリスク

IDについては、メールアドレスをIDにしているサイトも多く存在しますが、この場合、あなたのメールアドレスを知っている人があなたが登録しているWebサイトを知りうる状況が発生します。

あなたのメールアドレスとあなたの趣味嗜好を知っている人であれば、あなたが登録していそうなサイトを推測できるかもしれません。

または、有名なサイトであればあなたがアカウント登録をしている可能性は相対的に高まります。

このようにWebサイトが推測がされた場合、そのサイトにあなたがアカウント登録をしているかどうかを確認することは簡単です。

ほとんどのサイトでは新規登録画面でそのメールアドレスを入力してみると、既に使われている場合は登録時にエラーとなりますので、そのメールアドレスが使われているかが明確になってしまいます。

仮に、メールアドレス以外をIDとするサイトであれば、上のような心配はありませんが、単一もしくは数種類のパターンのIDを使っている人もいると思いますので、あなたを知る人からすると、ID登録をチェックすることはそれほど難しいことではないかもしれません。

他方で、パスワードは大丈夫でしょうか。

IDが安全でない以上、パスワードが知られると「アカウントの乗っ取り」ができてしまいます。

パスワードに関するリスク

単純なパスワードを使ったり、他と同じパスワードを使いまわしてはいけないということは常識的に言われています。

セキュリティの観点からすると、この両者はいずれも重要ながら全く別の問題ですので、ここではそれぞれについて見てみることにしましょう。

まずはパスワードの複雑性についてです。

数多くのパスワードクラック(正当な権利者の依頼に基づく業務としてです)を行ってきた経験からすると、無意味な文字列をパスワードに設定している人は極一部で、桁数がそれほど長くない、自分にとっては意味のある文字列をパスワードに使っているケースが多いのではないかと推測します。

今回は技術的な話をするつもりはありませんが、このような「セキュリティ強度が弱い」パスワードは、悪意があれば大した技術がなくても比較的簡単に解読することが可能です。 自分が覚えやすいパスワードは他人にも知られやすいことを認識し、それでも構わないような場面でのみ使用するようにしてください。

続いて同じパスワードを使い回すリスクについて見てみます。今回はこちらが本題です。

あなたが会員登録しているサイトは本当に信用できるサイトですか?

Webサイトにパスワードを入力するということは、そのサイト運営者にパスワードを教えることと同義です。

SSLだから安心、と思っている方がいるとすれば、ある意味最も危険な考え方ですので、SSLについて一度きちんとした理解をされることを強くお勧めします。 SSLはあくまで通信経路を暗号化するものでしかなく、サーバに届くのは元のパスワードそのものです。 このことは、あなたが他で同じパスワードを使いまわしている場合、サーバ運営者は他で使える可能性のあるIDとパスワードの組み合わせを知ることができることを意味します。

世の中には、他人のIDとパスワードの組み合わせを手に入れるために、悪意をもって運営されているサーバもあるでしょう。

偏見を持つわけではありませんが、市価に比べ極端に安い商品を扱う素姓のしれない(運営者が不明など)Webサイトは要注意です。

最後にもう一度お聞きします。 あなたが会員登録しているサイトは本当に信用できるサイトですか?