定期的に行いたい3つのパスワード・メンテナンス
GyazoとScrapboxで知られ、個人的にも尊敬している増井俊之氏のツイッターアカウントがクラックされ、乗っ取られてしまったのを偶然リアルタイムで目撃してはらはらしていました。
経験豊かな人でも、どんな形でパスワードが流出しているかはわかりません。また、年々増えてゆくウェブサービスや買い物サイトのアカウントをすべてセキュアにしておくのは、誰にとっても至難の業です。
ということもあって、これをきっかけと思ってパスワード管理の状態をすばやく見直していました。今回見直した点は、定期的におこなうと良さそうですので、私が使っているパスワード管理サービスの 1Password に合わせて解説しておきます。
おそらくは、たいていのパスワード管理サービスで同等のことができると思います。
脆弱性報告とつきあわせる
たとえ強固なパスワードを使っていても、それを保管しているサービスそのものから漏洩したら破られます。こうしたセキュリティの事案には普段から注意して、一報があったらすぐにパスワードを変更したいところですが、なかなかそうもいかないこともあるでしょう。
そうした脆弱性報告を自動的に追跡して、該当するアカウントをもっていたら表示してくれるのが1Password だとWatchtower機能です。
これはインストールしたデスクトップのアプリの、環境設定からオプトインで追加する機能で、定期的に1Password の開発元から情報が送信されて、それが手元のパスワードのアカウントと照合されることで実現しています。
これはなかなかに重宝する機能で、ニュースを追いかけていなくても、いつも使うパスワード管理アプリ内で注意してもらえるというだけで安心感が増します。
重複パスワードと、弱いパスワードを検査
Watchtowerの機能として、もう一つがあるのが弱いパスワードと、古いパスワードをまとめて表示してくれる機能です。
たとえば重複するパスワードというのは、たいていの場合は同じアカウントを複数回登録しているだけなのですが、スマートフォンで登録時にあとで変更するつもりで弱いパスワードを使って忘れているということを繰り返していることもありますので、ゼロにするに如かずです。
また、たいていのパスワード管理サービスに存在すると思いますが、パスワードの強度、最後に使った日付などで並べ替えを行って、弱いパスワードがどれだけあるかを確認しておくのもよいでしょう。
弱いパスワードの一覧で上に来るものはたいてい、この時代になっても6-8文字のパスワードしか受け付けないサイトだったりするのですが、これも久しぶりに確認すると20文字くらい入力できるようになっていることもあります。
とりあえずうちの重複はすべて対処しました。すっきり。
2段階認証のチェック
数年前とくらべても、2段階認証をできるサイトはどんどんと増えています。Google、Facebook、Twitter、Microsoft、Apple ID、LINE、Evernote、amazon、Dropbox、Adobe、LinkedIN、Instagram、Wordpress.com、Slack、SnapChat、Tumblr、Hootsuite、Buffer、IFTTT…。そしてこれからもどんどんとリストは伸びるでしょう。
よく利用しているアカウント、乗っ取られた場合にリスクの高いアカウントについては定期的に2段階認証に対応しているか、設定しているか、セキュリティーコードを忘れずに保存しているかを確認しておくとよいでしょう。
また、対応していない端末からのログイン方法が、多少ことなるサイトもあります。Amazonなどは一度ログインが失敗したら、認証アプリの数字をパスワードの後ろに加えて再度ログインするという手法をとっていて、忘れてしまいそうです。
こうした詳細部分についても 1Password ならばメモ書きの欄に書き加えておくと、あとあと時間がたってから楽になります。
1Password は二段階認証の認証アプリとしても機能するのですが、その設定はまた別の機会に紹介しましょう。
常に気をつけることにはかわりがない
これだけやっても、肝心の 1Password のマスターパスワードとアカウントキーが同時に漏れたら一巻の終わりですし、Dropbox のような他のサービスと密接に関連しているサービスが漏洩してそこから芋づる式にということだってありえないわけではありません。
1Password については、以前のようにマスターパスワードだけで破られるということがなくなっただけでも飛躍的にセキュアにはなったものの、どのパスワード管理サービスにも改善すべき点があるということは最近のニュースでも指摘されています。
Wordpressブログを管理している人ならば、パスワードではなく、脆弱性のあるプラグインにも注意しなければいけませんし、怪しいサイトを踏ませて乗っ取るタイプの攻撃だって、いつ引っかかるとも限りません。結局は常に気をつけなければいけないのにはかわりがないのですね。
ただ、上のような作業を通してパスワードをときどき減らし、セキュアかどうかを調べて変更したり、2段階認証を確認するのは、どんどんと増えてゆくアカウントを放置しておいた結果、最も弱い部分から破られることがないようにするためです。一番弱い部分を常に探して補強しておくわけですね。
というわけで、我が家のパスワードは今晩1023個あったところから1時間の作業で700個ほどに減りました。おそらく、もう少し作業をしたら500個まで減らしておけるでしょうか。