サイバーセキュリティ意識向上月間であることを除けば、北半球に住む多くの家族と同じように、10月はホラー映画やかぼちゃが主役になる時期です。我が家では、子どもたちを連れて、まだつるにつながっているかぼちゃを採りに行きました。でこぼこの道をわらを積んだ馬車でなんとか進み、8フィート(約2.4m)の物差しの横に並んで、子どもたちが「今年の秋はどれだけ大きくなったか」を確かめました。(かぼちゃ自体の料金は除いて)これらのアクティビティは全て無料でした。
ですが、楽しい母親であろうと心がけている自分としては、樽でできた列車に乗ったり、樽に入って坂を転がったり、子どもたちには小さすぎるおもちゃのペダル式のトラクターで競争したり、トウモロコシ畑を利用した巨大迷路で迷ったりという体験を、子どもたちに思いきり楽しんでもらいたいと考えました。しかし、そうしたアクティビティに参加するには、リストバンドを購入しなければなりませんでした。
リストバンドの目的
その日の色は「青」であることがわかりました。つまり、青のリストバンドをつけた人だけが、農場のこうした「追加の」アクティビティを楽しめるセクションに入れるのです。赤いリストバンドでは入れません。紫でもだめ。緑でもだめ。青のリストバンドのみです。
ありふれた話のように思えるかもしれません。同じシステムを採用しているウォーターパークはどこにでもあります。しかし、その目的は何でしょうか。
別の日に支払いをした客がまたやって来て、同じリストバンドを使ってただで入場するのを防ぐためです。色を変えなければ、リストバンドを再利用したり、別の人に渡したりすることができてしまいます。
このリストバンドのシステムを知って頭をよぎったのは、パスワードを使いまわす人のことです。色が決められたリストバンドを求められるシステムは入り口で阻止することができますが、全てのアカウントで同じパスワードを使用している人は、1つのアカウントを侵害した誰かが他の全てのアカウントに自由にアクセスすることを許してしまうことになります。
リストバンドは当然、アクセス制御としては最も強力なものではありません。しかし、ファミリー向けの農場にいる場合は、誰かにレシートを渡して、違うセクションに入場するたびにそのレシートを提示するよう求めるよりも強力です。リストバンドを1人1個ずつ渡せば、退場するときに別の家族に手渡すのも大変です。パスワードの場合は、自分の退出時に他の誰かがそのパスワードを使うことができないようにする強力な方法も作らなければいけません。
強力なパスワードとは
強力なパスワードとは、自分にとっては覚えやすく、他の誰か(または何か)にとっては推測しづらいもののことです。つまり、破られづらくする特定の基準を満たす必要があります。とはいえ、難しくしすぎて自分で忘れてしまってはいけないので、その微妙なバランスを取るのは大変です。特に、使用しているパスワードが複数ある場合、再利用してはいけないことがわかったのでなおさらです。
強力なパスワードの作り方
私は常に、提供されている場合はマルチファクター認証を有効にして、パスワードに全幅の信頼を置かないように人にすすめていますが、単純に強力なパスワードやパスフレーズに頼るしかないときもあります。パスワードを選ぶ際には、パスワードに関する以下の主なヒントを覚えておいてください。
複雑にする(特殊文字、大文字小文字と数字を組み合わせる)ことでパスワードを強力にできますが、覚えるのが難しくなってしまうこともあります。忘れてしまうかもしれない複雑なパスワードと、覚えやすい長いパスワードのどちらかを選ばなければならないとしたら、少なくとも15文字以上のパスワードを選んでください。業界のあるデータによると、小文字のアルファベットだけの15文字のパスワードを当てるのに、コンピューターは1,000年かかるそうです(一方、それよりも短い8文字のパスワードの場合、どんなに複雑でもわずか8時間で破られています)。長さが重要なのです。
パスワードの一部に個人情報、または簡単なオンライン検索ですぐに推測できてしまうような情報を使用するのはやめましょう。電話番号や、住所の一部を使用するのもそうです。1つの単語をそのまま使用するとハッカーに辞書攻撃をされてしまう可能性がありますが、共通するテーマがなければ、複数のランダムに思える単語を並べてもよいでしょう。1234といった一般的な数字の並びや、asdfといったキーボードの配列をそのまま使わないようにしましょう。
パスフレーズはパスワードよりも強力で、複数の単語を並べるか、あるいは例えばフレーズの単語の最初の文字を選ぶことができます。こうすることで、辞書によくある単語を使用している場合でも、推測しづらいパスワードを作れます。時々トレーニングで使用されているものの、今となっては知っている人がいるので実際のパスワードとしては絶対に使用すべきでないものの一例が、2 be or not 2 be, that is the ?です。
新しい強力なパスワードやパスフレーズを考え出すのが面倒なら、パスワード生成機能を備えたパスワード管理ツールを使用するとよいでしょう。適切なものを選べば、その管理ツールが自分に代わって強力なパスワードやパスフレーズを選択してくれます。また、パスワードを管理してくれるツールなので、自分で覚えておく必要もありません。
強力なパスワードを保護する方法
強力なパスワードやパスフレーズを他人から保護しておくには、以下のヒントに従いましょう。
覚えやすい究極の強力なパスワードを思いついたときは、怪力を得たように感じるかもしれません。鉄壁とも思えるようなパスワードを選んだら、あらゆるものに使いたいと思うかもしれません。その衝動を抑えてください。複数のアカウントで同じパスワードを使ったり、同じアカウントでパスワードを再利用したりしてはいけません。パスワードが1ヶ所で侵害されてしまった場合、侵害されたパスワードは、ハッカーが他のアカウントでパスワードを推測しようとするときに使うパスワードのリストに入ってしまいます。
我が家では、煙探知機のバッテリーを6ヶ月ごとに変えています。歯ブラシは少なくとも3ヶ月ごと(もっと頻繁なときもあります)に変えています。パスワードも同じように変えるべきです。厳密にどの程度の頻度で変えるべきかは、ご自分のリスク許容度によります。率直に言うと、侵害されたことのない強力なパスワードを使用している場合に、本当に変更する必要があるのかは専門家の間でも意見が割れています。仕事用の場合は、組織のパスワードに関するルールに従ってください。ただし、個人用の場合、歯ブラシを交換するたびに変更することを検討しましょう(我が家と同じように四半期ごとに変えることが前提)。しかし、パスワードが侵害されたと思う場合は、直ちに変更してください。
私は自分の子どものことを信じています。ほとんどの場合に。しかし、信じているからといって、私のオンラインアカウントにアクセスして、どんなクリスマスプレゼントを注文しているのか確認したり、かかりつけの医者にメールを送ったりしてもらいたくはありません。パスワードは、アカウントにサインインしている人物がその本人であることを確認することを目的としています。一度サインインすれば、その人物は情報にアクセスでき、変更を加えることもでき、場合によってはオンラインでショッピングすることもできるからです。誰かがあなたのパスワードを知ってしまったら、その人はどのデバイスでも使うおそれがあることは言うまでもないでしょう。それに、その人があなたと同じようにセキュリティを意識しているかどうかはわかりません。その人のコンピューターが感染しているかもしれず、あなたのパスワードが自分が考えているよりも多くの人にさらされている可能性もあるのです。
ウェブサイトにログインしたままにしておくことの利便性は明白です。しかし、他の誰かがあなたを装ったときの不便さの方が、ログインしたままの利便性よりも大きな頭痛の種になることがあります。特に、図書館のコンピューター、病院のエンターテイメントシステム、あるいは親戚の家を訪れた際のその家のテレビなど、他人がアクセスできるデバイスを使用する場合は、 使い終わった後に必ずオンラインアカウントからサインアウトするようにしましょう。実際の文字でパスワードを共有しているわけではないかもしれませんが、その人があなたを装ってそのパスワードを使える可能性を共有しているのです(それによって、自分の意図しない個人情報にアクセスを与えてしまうことになるおそれがあります)。
まとめ
家族で外出して楽しんでいるときも、オンラインバンキングで何らかの操作をしているときも、安全を守るために、強力なパスワードを使って、一歩踏み込んだ対策を取ることを忘れないでください。覚えやすく推測しづらい強力なパスワードを選ぶことの重要性について、家族でサイバーセキュリティについて簡単に話し合うよう働きかけましょう。一意のパスワードを使いまわすのではなく、一貫したパスワードセキュリティを実践しましょう。
オンライン上で安全でいるのは簡単なことだと覚えていてください。本記事で紹介したパスワードのガイダンスに従って、自分と家族のアカウントの安全を守りましょう。
その他の参考資料:
サイバーセキュリティについて話そうの投稿第1弾を読む