皆さんはパスワードの管理ってどうしていますか?
今月の初め、ゴールデンウィークの真っ最中(5月3日)に Twitter からこんな通知が来ていたのは覚えているでしょうか?
目次
Twitterアプリへの通知
アカウントを安全に保ち続けましょう
Twitter アカウントのパスワード設定ではマスク技術を使い、社内で誰にもわからないようにします。最近、内部ログでマスクをかけないままパスワードを保管するバグが見つかりました。そのバグは修正済みで、誰かが違反または誤用している痕跡はありません。十分な注意が必要ですので、このパスワードを使用したサービスがあれば、パスワードの変更をご検討ください。
https://twitter.com/TwitterSupport/status/992132808192634881
https://blog.twitter.com/official/en_us/topics/company/2018/keeping-your-account-secure.html
さらっと「ご検討ください」と流して、「設定画面に進む」よう動線が引かれていますが大事なことが書いてあります。
Twitter アカウントに紐付けられたパスワードが暗号化されずに保存されていたこと。
それを誰かが不正に使ったり、盗まれたかどうかは痕跡がないだけで実際のところは不明。
これまで Twitter に登録したことのあるパスワードは他のサービスで使い回さないで変更してください。
ってことです。
Twitter のアカウントいくつ持っていますか?
今では Instagram に押されていますが、以前はかなり人気があり、殆どの人がアカウントの一つや二つ持っているのではないでしょうか?
かくいう私も今メインに使っているアカウントの他に二つアカウントを持っています。
そして、その時に作ったアカウントのパスワードは他のサービスでも使いまわしをしていました。
インスタのアカウントが乗っ取られたんだけど!!!
その後、 YouTuber の瀬戸弘司さんが Instagram のアカウントを乗っ取られた旨の動画を出しました。
瀬戸さんは今では殆どのアカウントで桁数の多いランダムなパスワードを作り、2段階認証もかけているそうですが、今回乗っ取られた Instagram のパスワードは昔使っていた使い回しのパスワードだったそうです。
私もネットのサービスを使う上で多数のアカウントを持っていますが、金銭の絡まないようなサービスでは単純なパスワードをあちこちで使いまわしていました。
さすがにネットバイキングやネットショッピング等で使うパスワードはそれらとは違うものを使っていますが、どうしても自分が覚えやすいパスワードになっています。
パスワード管理ソフト 1Password
今回、瀬戸さんの動画の中で紹介されていたアプリ「 1Password 」は私も以前 iPhone をメイン端末として使っていた時に購入したことがありました。
https://play.google.com/store/apps/details?id=com.agilebits.onepassword
この 1Password というパスワード管理アプリは私が買った時には iOS 版と Mac OS 版 とがそれぞれ別に単体で売り切り方式で販売されていました。
現在はサブスクリプション方式といって月額や年額払いの方式に変わっております。
https://1password.com/sign-up/
以前、 iOS 版と Mac OS 版を数千円で買った私に今の月額や年額払い方式での利用はためらわれました。
しかし、今後もネットを使っていく上で ID とパスワードは増えていく一方。
しかもそのパスワードを自分でいろんなパターンを作り、それを覚えたり、何かに残していくというのはそろそろ限界かなと感じました。
そこで 1Password を登録し現在、30日間のお試し期間中です。
さっそくこれまで Chrome に自動保存されているアカウントとパスワードを出力し、それを 1Password にインポートしました。
Chrome に保存されているパスワードを 1Password にインポートする方法はこちら
使い回しパスワードの数なんと283件
1Password にはそのパスワードの脆弱性を探す機能があります。
私のパスワードは400近くあり、そのうち283のパスワードが他と重複(使い回し)していると判断されました。
そんなわけで今は新しいスマホやアップデート情報の収集はそっちのけで、この重複パスワードの再点検を行っています。
この重複したパスワードの数というのは、あくまでも Chrome から出力したパスワードの形式から判断されたものです。
実際によくみてみると Chrome のパスワード管理はログイン形式の違いから異なるものと判断され、保存されたものがかなりあります。
例えば Yahoo! で taro.yamada.12345@yahoo.co.jp という ID だとすると taro.yamada.12345 でログインした場合と taro.yamada.12345@yahoo.co.jp でログインした場合が2つ保存されています。
この場合、パスワードは同じものでログインするので、 1Password 上では重複(使い回し)として認識されるのです。
現在これらの確認と新しいパスワードへの変更作業を行っていますが、かなりの時間がかかりそうです。
パスワード管理ソフトはよく考えて導入すべし
1Password はアカウントとパスワードをクラウドで管理することになります。
メリットとしてはどの環境からでもパスワードの参照、変更、登録が可能です。
反面、一度複雑な使い回しをしないパスワードに変更すると、完全なオフラインでの管理は難しくなると思います。(桁数が多く、記号が含まれたりするのでノートなどに書き写すのも大変です)
また、今後料金の値上げがあった場合も人質を取られているようなものですから、逆らうことは不可能でしょう。
かといって、無料のアプリやサービスで対応していくのは、その開発者がどこで元を取るのか考えてみれば難しい事だと思います。
ただ、パスワードの使い回しはどこかで流出するとその被害が他にも及びます。
今、あちこちのサービスで同じパスワードを使っている方は早めにパスワードを変更し、管理する方法を決めることをお勧めします。