面倒なID・パスワード管理に決着をつける。そうこの簡単な方法でね。


fabo_blog_password_management

安全で簡単なのに最強なIDとパスワードの発行管理マニュアル[Fabo編]

 

大手企業が時折やってしまう皆様のID、パスワードの流出事故って怖いですよねぇ。

みなさん、こんにちは。SNSで旅行について投稿すると留守中に泥棒が入るんじゃないかと心配するよりも、皆から素敵な情報が得られるんじゃないかと期待する方が勝ってしまう性格のFabo代表の伊藤です。

 

ベネッセの顧客情報漏洩は記憶に新しいです。また、LINEのID乗っ取りも治まりませんね。
管理している企業側も情報セキュリティには躍起になり、ルールや監視システムの強化など努力しておりますが、我々ユーザーはどうやって自分大切な情報を管理していけばいいでしょうか。

 

残念ながら今後も情報流出は続きます。

 

まずは完璧な防御は不可能という視点で考えましょう。どんなに監査システムが立派になっても人間が介在する限りは漏れちゃうんですね。

情報漏洩って外部からの悪いパソコン野郎(ハッカー)が盗み出すイメージがあると思いますが、そのほとんどは内部の人から漏れちゃうんですよ。

 

まさか、こんなパスワード使っている人はいませんよね?

 

波乗り命のサーファーは車のナンバーを「1173(いい波)」にするので口座の暗証番号も1173らしいですよ。泥棒さん、知ってましたか?

使ってはいけないパスワード

  • 「1234」「2222」「password」
  • 辞書に乗っている英単語(地名、モノの名称)
  • 誕生日、電話番号、住所など

該当しちゃう人はこのブログを読んだ後にすぐに変更しましょう。はい。すぐにやりましょう。ご飯を食べる前にやりましょう。そうでなければきっと貴方はそのまま実行に移さないでしょうから。

また、「名前+数字」や「キーボードの配列(asdf,qwer,zxcv)」などは工夫していると思っているかも知れませんが、簡単に推測される範囲内です。変えましょう。

 

・・・・え?面倒くさい?

 

そうですよね、実はパスワードをどれだけ難しい配列に変えても、同じIDとパスワードを複数のサービスで使いまわしている方がよろしくありません。なぜなら、1箇所で漏れたら貴方が使っている全てのサービス(Google、yahoo!、楽天、amazon、銀行、LINE、Facebook、Twitter、InstagramなどのSNS)が全て乗っ取られる可能性がある訳ですから。

複数のパスワードを利用している人でもせいぜい3つです。実は、銀行ATMは暗証番号を3回以上を間違えて入力するとロックしたりする恐怖があるので、組み合わせリスクも考えると3個程度が限界かつ妥当かも知れません。

 

しかし、私は100パターン以上のIDとパスワードをメモなしで利用しています

 

一番良いのは「WebサイトごとにIDとPWを変える」です。

  • 万が一流出やハッキングされても、被害は1サイトだけ
  • IDであるメールアドレスを個別に設定するので、スパム業者からメールが来たときにそのアドレスを見ればどこから流出したかすぐにわかる

 

・・・・え?個別にID/PW作るの面倒くさい?

 

ですよね。パスワード考えるのも大変ですし、記憶するのも大変です。でも安心してください。安全で忘れない仕組をお伝えします。あれ?この方法公開していいのかな?いや、いいでしょう。では解説します。

 

全部のID/PWを覚えるのではなく、発行ルール(アルゴリズム)を作りましょう。

 

1.Webサイトごとに異なるID(メールアドレス)を使う

→大丈夫、ひとつのGmailアカウントで分身の術が使えるから

2.Webサイトごとに異なるパスワードを作成する

→大丈夫、覚え方あるから

3.社内システムなど定期的にパスワード変更を求められる場合

→大丈夫、楽しく作って忘れない方法あるから

では、1ステップづつ一つづつ紹介します。

 

1.Webサイトごとに異なるID(メールアドレス)を使う

 

実は、皆様が現在お使いのGmailアカウントは+(プラス)の後にどれだけテキストを付けて別メールアドレスにしても、1個のアカウントで使えるのです。つまりサービス登録全てを別のメアド登録しちゃえるのですね。

・1つのGmailアカウントを使いたおす

例)fabo@gmail.com がメインのアドレス

・登録するサイト別にそのGmailの分身を作る

例)
fabo+yahoo@gmail.com

fabo+facebook@gmail.com

fabo+amazon@gmail.com

作るといっても、特に発行手続きはなく、登録フォームにその場で勝手に書いていいです。

  +を付けたメールはいつもの受信Boxに入ってくるのでご安心下さい。

はい、これで+サービス名称にしておけば無尽蔵にメールアドレスを発行できるのです。

参考:自分の個人情報がどこから流出したかが丸わかりになる、Gmailの機能が凄い!個人情報漏洩対策として、個別に設定してみよう
http://cards.hateblo.jp/entry/kojinjyoho-roei-email/

 

2.Webサイトごとに異なるパスワードを作成する

 

このエントリーのメインディッシュはこの2番ですぜ、ご主人様。では、パスワード生成の法則を作りましょう。

ポイントは、固定文字+記号+登録先のサービス名という組み合わせを考えることです。

例)「アダ名」+「記号」+「サービス名」
fa-bochan@Facebook

例)「趣味」+「記号」+「サービス名」
EigaDaisuki_twitter

大文字/小文字を織り交ぜるとより安全ですね。

・アルファベットを数字に置き換えてみるというのも良いです。

例)fabo → fab0 (o:オー を 0:ゼロに変える)

・前後に文字を挟み込むなど、オリジナルの法則を考えましょう。

例)「誕生月」「記号」+「趣味」+「記号」+「サービス名」+「携帯下2桁」
08@EigaDaisuki_twitter59

私がどのようなルールを使っているかはもちろん内緒ですが、こういった仕組み(アルゴリズム)を作っておけば無尽蔵にパスワード発行できますよね。

つまり、貴方が覚えておくのはこの発行ルールだけ。

万が一、あなたが情報漏洩事件に巻き込まれたら

 

 レベル1:「スパムが急に沢山くるようになった」

受信しているメールアドレスの+以降を見れば、どのサービスで登録したメールがスパム業者に流出したかすぐに判明します。

サービス業者に文句を言ってもいいですが、利用規約に「第三者にわたしちゃうかもよ」とちゃんと書いてありますよ、きっと。そんな会社のサービスはやめてしまうか、該当メールアドレス宛にくるメールは自動振り分けでゴミ箱行きにしておきましょう。

 レベル2:「利用サービス業者が情報漏洩した」

PWまで流出する疑いもあるので、そのサービスの利用停止もしくはPWの変更をしましょう。変えるのはひとつだけ。それほど手間はかかりません。パスワードの最後にjiko1(事故1)とか付けて楽しんでやりましょう。

 レベル3:「サービスを乗っ取られた」

  • 楽天で買ってもいない請求が来た
  • 大流行のLINE IDのっとり

これらを事前に検知して避けるのは難しいですよね。これらはID/PWごと変更しましょう。

まずはクレジットカードの請求書を確認することが大事です。お金の被害はこれで食い止められます。

ただし、昨今話題のLINEのIDのっとりだけは電話番号と紐付いている故に、すぐに番号を変えられないという問題もあり、根本解決になる変更は困難です。

LINEのグループなどは、途中からハッキングされても過去のメッセージを全部読むことができるので、防衛策としては、はずかしい写真、個人を特定できる情報、仕事上の機密事項、口座情報などはLINEに記載しないことです。もちろん、LINEの利用をやめるのが一番安全ですが、SNS世代にとっては利用停止は難しい選択でしょう。

SNSツールの情報漏えいの面倒なところは、被害は自分ではなく、むしろつながっている友達全員に迷惑をかけるという点でいままでの漏洩対策とは心構えが違うことも改めて認識しましょう。

 

番外編:社内システムで「パスワードの期限が切れました」と定期的に変更を強制される場合

 

グループウェアとか勤怠・経費精算システムなど、セキュリティのため、1ヶ月とか3ヶ月とかで強制変更させられることはありませんか? 面倒ですよね。ほとんどのユーザーは2つのパスワードを順番に使いまわしているだけみたいですから、セキュリティ強化の意味がありません。

さて、こういった場合のパスワードには「自分のその時の目標設定をパスワードにして、毎日打ち込むことで自己暗示、目標達成!?」という技が有効です。

例えば、「パスワード」が変えてくれた僕の人生(http://tabi-labo.com/32665/password/)で紹介している目標キーワードは素晴らしいですね。

Quit@smoking4ever(タバコをきっぱりやめる)
Save4trip@thailand(タイに旅行に行くため貯金する)

 

この方法、私は2000年頃から利用していました。会社で毎日ログインするシステムでしたら、目標設定を毎日打ち込むので、自己暗示効果もあります。

うまく目標の言葉が思いつかない人は直近で見た映画のタイトル+映画館名+月とかでもいいですね。

Frozen@Shibuya7

見に行きたいアーティストのライブ日程でも、貯金の目標金額でも何でもいいですよね。パスワード生成を楽しみましょう。

 

私は来年はハワイの空気を吸いたいので、Save4Trip@Hawaii でがんばろうと思います。あ、みずから情報漏洩しちゃった。
最後まで読んでいただいてありがとうございます。