STOP!! パスワード使い回し!!
mineoのセキュリティ担当です。
皆さん、インターネットを通じて、ショッピングやオンラインバンキングを利用されていますか?また、マイネ王以外でも、FacebookやTwitterなどのSNSを利用されている方も多いですよね?
このようなWebサービスを利用する際には、IDやパスワードが必要となってきますね。
このIDやパスワードを利用サービスごとにどうやって管理されていますか?
最近のサービスのログイン認証は、IDが第三者にわかりやすくなっているものが増えています。
例えば、連絡先メールアドレスをログインIDとしていたり、利用者にとってわかりやすいIDにあとから変更できるようになっていたりしています。
マイネ王も、お客さまにIDを覚えていてもらうための一つの方法として、連絡先メールアドレスをログインIDとしていています。
このようにIDが第三者にわかりやすくなっている状況は、結果的にパスワードだけで制御をしているような状況とも言えます。ここで一度考えてみましょう。
AというSNSとBショッピングサイト、C銀行オンラインバンキング、マイネ王において、ログインID=メールアドレスで、かつ、すべてのサービスで同じログインパスワードにしていたとします。
何らかの理由で、AというSNSのログインIDとパスワードが漏えいしてしまったとしましょう。
もし漏えいに気付かないと、Bショッピングで勝手に買い物をされたり、C銀行で勝手にお金を別口座に振り込みされたり、マイネ王の自分のアカウントで勝手に書き込みされたりしてしまうのです。これは、怖い!!!!
仮に漏えいに気付いたとしても、マイネ王のパスワードを変えるだけではなく、AショッピングサイトやB銀行オンラインバンキングのパスワードを変更し忘れていたら同じです。
これを予防するために・・・・・・、その方法の一つが『パスワードの使い回しをしない!』です。
Webサービスごとにパスワードを変えることを心掛けていただくことで、情報流出時の被害を最低限に食い止めることが可能となります。つまり流出したパスワードを利用しているサービスだけに被害範囲が限定されます。
今回、弊社ケイ・オプティコムでは、お客さまの大事な契約情報を守る立場ということを考え、JPCERT/CCが提唱する『STOP!! パスワード使い回し!!』キャンペーン2016に賛同することといたしました。
『STOP!! パスワード使い回し!!』
マイネ王やmineoマイページでは、ログインIDやパスワードが漏えいするようなことがないよう十分に対策をしているのでご安心ください。
ただ、どこかでログインIDやパスワードを盗まれた場合に同じパスワードを使いまわしていると、マイネ王やmineoマイページに不正にログインされる可能性があります。
これを機会に、あなたが登録しているWebサービスのログインID/パスワードをしっかり見直してみませんか?
インターネット被害を予防するには、自らの利用方法も見つめ直しましょう!
これなくしたらおわりです(笑)。
1234567J 1234567F 1234567M
「今日○○さんやすみだけど、ログインできないよ」
「最後がAで・・・」
私の場合は、記号の行けるところは顔文字で
(++)123456 (__);123456
最近は、サイト毎にパスワードを変えろとかと言うキャンペーンを
大々的にやってるので、ほとんど全部のパスワードを変えました。
123**567+ をほとんどで使ってたとしたら、それは頭の中に入って
いるので、
楽天 123*gakuten*567+
amazon 123*mitsurin*567+
yahoo 123*hagehage*567+
zozo 123*saeko*567+
DeNA 123*saikai*567+
こんなの書くと運営さまに削除されるかな。
例でも、パスワードを書くのはダメですってことで。
アタックされたらすべておしまいというか、過去にアタックされてたはず。
まぁ、マスターパスワードは16桁のランダム英数字だからハッシュからの逆算はまだ大丈夫だと思ってますけど(>_<)
漏れた対象でもなかったみたいですけど
システムでは強固なパスワードにすることよりもシングルサインオン環境の構築とユーザーにシステムに直接アクセスできるホントのパスワードを教えないことの方が重要。
いろんなシステムにアクセスするパスワードがたくさんあってそれぞれが複雑なパスワード要件を持ってるとおっちゃんは付箋やメモに書いちゃいますからね、、、
最近は会社でのセキュリティー研修とかで少なくはなってきてますが(^^;)
とりあえずパスワードはドキュメントに残さない。
記載するなら暗号化ZIPやパスワード付きExcelに保管する。
出来るなら外部媒体に保管して鍵のかかるところにおいておくこと。
こんなとこですね。
小さい会社だからとかはいいわけでしかないので出来るだけの対策はするようにしましょう。
漏れて困るのはSEだけで使ってる側は責任とらないので(^0^;)
合い言葉の問いが固定されてるのは、困る。
最初に好きになった映画 とかならまだしも、
嫌いな食べ物 ありすぎて・・・
先日、どっかのサイトで、小学校1年の担任とかいうのがあったので、
子供の小学校の担任の名前を設定したのだけど、それを忘れて、
家は分るので、ストリートビューでその家を見つけて、なんとか表札が
見れないかと思ったら見れないのよね、最近は。
さすがに卒業アルバム見るのも悔しいし、2日ほど考えてしまった。
ブラウザで使うパスワードは、operaに入ってるんで、さすがに中国に
筒抜けになりそうで怖いんだけど。
ですので、mineoさんにはぜひVISAデビットやauWalletカードに対応していただきたいです。
今や管理しなければならないパスワードの数は指で数えられないのでは?
そもそも他人に推測されない自分だけが分かるキーワードなどどれだけ思い付くでしょうか?
自分はパスワード管理ソフトを使っており、クレジットカードなど登録しているサイトはランダムパターンにしていますが、管理ソフトのマスターパスワードを考えるだけでも悩みます。
定期的な変更も推奨されますがこんな主張もあります。
http://nlab.itmedia.co.jp/nl/articles/1606/28/news127.html
サイト側の対策も必要です。パスワード判定に一定の時間を取ったり、失敗回数の上限を設けてLogin停止時間を設けるなどは最低限。意識の高いサイトでは何時もと異なるデバイスや、久しぶりのアクセスでは秘密の質問を設けるなどの対策もありますね。
交通事故は交通ルール順守の啓発頼みですが、最近は車の運転アシスト技術の向上が役立っています。
パスワード管理もユーザ目線で簡単でセキュアな管理方法が普及すると良いのですが。
管理が楽だから、という理由でパスワードの使いまわしという誘惑に襲われます(笑)
改めて注意喚起して下さり、ありがとうございました。
mineoを応援しています。
指紋認証で使えるので便利です。
ウェブサービス提供側も、各々でID作らせるんじゃなく、共通のopenID基盤とか作って管理するものを少なくしてくれ。
漏えいした時のリスクは上がるけど。
なので紙に書いて定位置に保管するのは案外悪くない気がします。
使い回しをしない為にどうすれば良いかというのを
丁寧に解説しない事には使い回しはなくならないと思います。
知り合いのおじいちゃんはキャッシュカードの後ろに暗証番号書いてた(笑)
漏えいなんてコトのないよう、サービスを提供する側が何とかしてくださいなm(__)m
結局パスワード管理ソフトやツールは必要なんだと思いますよ(^_^;)
前述してませんが私はLastPassとそのブックマークレットでクローム利用デスね。
この使い方ならモバイルでもお金要らないので(*'▽'*)
背景にはパスワードを色々使ったとしても、どうせこの情報社会ではダダ漏れになって取る時は取られるんだよなあ・・・と言う感情があります。
最悪ゲームのアカウントは取られたら解除すればいいだけですけどね。
その代わり金銭を直に扱う場合は独自のパスワードを使うようにしています。前者の主張と矛盾していますが、『最悪使われても構わない』のと『絶対に使われたくない』パスワードのランク付けも割と重要なのではないか?とも思います。
ユーザーが求めているのは、できもしないことに対しての注意喚起ではなく、現実的に対策可能なパスワードの管理方法です。
コンピュータで管理させる方法や、手帳などに記載して管理する方法、パスワードの生成規則を法則化してIDから導き出す方法など、方法はいくらでもあるとは思いますがそれらを紹介しないのは何らかの責任逃れのためでしょうか・・・?
いっそmineoでちゃんと使えるパスワード管理ツール開発してはどうでしょうか。
昔同じ数字でキャシュカードの暗証番号を設定してました。
会社が提携している銀行だったので審査もなくお金も融資できるカードでした。
昔のキャシュコーナーの機械は反応が遅く今みたいにこの金額でいいですかという確認画面もなかったので適当に連続で暗証番号の桁数以上を押したら残高以上の金額を押していて危うく融資(キャッシング)手前だったことを思い出しました。(^_^;)
長文でスミマセン。
…と言う訳でお願いがあります。
桁数を増やして下さい。
マイネオが【足を引っ張る】側になってますよ。
実行するのは大変。本当に大変。
一部の天才を除いては無理だから。
私は、サイト毎にパスワードを変えていますが、
パスワードの最後に、mineoとか、rakuten,googleとか
そのサイトの名前を付けて管理しています
忘れないし、管理をしやすいですよ
でもHUAWEIのP9では指紋認証は端末ロックにしか使ってません(*'▽'*)
えぇ、ただのびびりだというのは分かってますが、、、
iPhoneだと決済もアプリ認証も大丈夫だろうと思ってますがホントのとこは分かりませんけどね
なので早く生体認証式パスワード出して欲しいですね。
眼球と音声指紋が一番近いですね。
そしてマイネ王にも防衛強化して下さい。
このまま裸の王様は無理ですよ~
似たような機能のソフトはありますが、此方はPCに繋がなくても良いので安心度がソフトよりは高いかな。
最近、新バージョンが発売されました。
http://www.kingjim.co.jp/sp/pw20/
私のは初代の方(´;ω;`)
最近は二段階認証も少しずつ増えてるので、活用してます
PCのログインも、パスワードでは無くPINでサインインこれは、外部からアクセス出来ないので安心(多分)
「ポケモンGO」開発元CEOも被害に、SNS乗っ取りに気をつけろ!
-----
ご参考まで。
仕事も含めれば、ID、PWをどれだけ管理しているのかとうんざりしてしまいますが、一応まめに変更は行っています。
預貯金口座は生体認証を登録していますが、一度も使ったことがありません。残高が少ないので必要なかったかも(^^ゞ
キャンペーンやその賛同に関するご意見、ご要望、誠にありがとうございます。
一般的な話になってきますが、パスワードは複雑にすればするほど、便宜性が損なわれます。
とはいえ、あまりにも簡単なものや、その人の個人情報を利用するのは、盗んでくださいと言っているようなものです。
PWを使いまわさないだけでなく、以下のような点に注意して、パスワードを設定するようにしましょう。
•できるだけ長くする。強固なパスワードには8文字以上が理想。
•更に強固にするは、14文字以上を設定する。
•英大文字、英小文字、数字、記号の内、最低3つを組み合わせる。
•名前、誕生日、電話番号、メールアドレスなど情報元が類推できる文字を使わない。
•設定方法に例示されているパスワードをそのまま使わない。
•誰でも知っている単語(password、football、baseball、welcome など)や頭文字を使わない。
•連続した数字(1234 など)や、キーボードの連続した文字列(qwerty、1qaz2wsx、asdf など)を使わない。
•同じ文字(111111 など)を連続して使わない。
•定期的にチェックし、時々新しいものに変更する。
この様な運用を支援してくれるパスワード管理ツールの利用者もたくさんいらっしゃるようですね。
私も、セキュリティ担当@マイネ王事務局として、当社のシステムをより安全性の高いものにしていけるよう努力してまいりたいと思います。
一応、パスワードを使い回さず、かつ自分にとっては覚えやすいパスワードを作るコツ なんかもちゃんと伝えてるのですが、そうはいっても実践してもらうのはなかなか難しいです。
ちなみに、パスワード管理ツール、自分は使ってません。全部一定のルールに沿ってつけているので忘れませんので。ただ、パソコン教室の受講生には基本的に、メモしてもらっています。どうしても高齢の方ですと忘れてしまいがちですし、万が一の時にご家族のどなたもアクセスできない情報を作るというのは教える側も気が引けますので。
ただ、そういうとき邪魔になるのが、「パスワードは16文字以内」とか「記号は入力不可」などと制限がついているサイトですね。色々事情はあるかと思いますが、何とかして欲しいものです(なので、それに合わせてパスワードルールも5パターンくらいあってサイトによって使い分けてます)。
> •定期的にチェックし、時々新しいものに変更する。
こちらについては「パスワードの定期変更をユーザーに求めるべきではない」のが最近の流れのようですね。
http://internet.watch.impress.co.jp/docs/yajiuma/1007177.html
ただ、「パスワードが漏えいしているかもしれない」ということに気がつけない人だと話は別です。
たとえば各社が発信しているメールニュースや、セキュリティ関連のネット記事など、これらをキャッチするスキルが無い人は、面倒でもパスワードの変更はした方が良いかとは思います。
その場合はルールを決めて、なるべく「パスワードを定期的に変更しても、パスワードの堅牢性が損なわれない仕組み」を保持するように気をつけたいですね。
二段階認証やマスターパスワードは後が大変なので今の所は使ってません。
パスワード管理するのは危険でしょうか?
一番簡単で安全な方法があると良いですね。
. ✳️✳️✳️✳️
. ✳️
. ✳️✳️✳️✳️
. ✳️
. ✳️✳️✳️✳️ th
#マイネ王5周年おめでとう!
ありがとうございました。
/ ̄ ̄ ̄ ̄\
``/ _ _ \
/ ( ● ) ( ● ) |
| υ (_人_) |
/ ∩ノ⊃ /
| \/_ノ´| |
\ /___ノ |
\ /______ノ
. ✳️✳️✳️✳️
. ✳️
. ✳️
. ✳️
. ✳️ th
#マイネ王7周年おめでとう!
. ✳️✳️✳️✳️
. ✳ ✳
. ✳️✳️✳️✳️
. ✳️ ✳
. ✳️✳️✳️✳️ th
#マイネ王8周年おめでとう!
. ✳️✳️✳️✳️
. ✳️ ✳
. ✳️✳️✳️✳️
. ️ ✳
. ✳️✳️✳️✳️ th
#マイネ王9周年おめでとう!
. 🟢🟢🟢
. 🟢🟢🟢🟢
. 🟢🟢 🟢🟢🟢
. 🟢🟢🟢 🟢🟢
. 🟢🟢 🟢
. 🟢
㊗️㊗️㊗️㊗️㊗️㊗️㊗️㊗️㊗️㊗️㊗️㊗️
🌑🌑🌑🌑🌑🌑🌑🌑🌑🌑🌑🌑
🌑🌑🌕🌕🌑🌔🌕🌕🌕🌕🌖🌑
🌑🌕🌕🌕🌑🌕🌕🌕🌕🌕🌕🌑
🌑🌑🌕🌕🌑🌕🌕🌑🌑🌕🌕🌑
🌑🌑🌕🌕🌑🌕🌕🌑🌑🌕🌕🌑
🌑🌑🌕🌕🌑🌕🌕🌑🌑🌕🌕🌑
🌑🌑🌕🌕🌑🌕🌕🌑🌑🌕🌕🌑
🌑🌑🌕🌕🌑🌕🌕🌑🌑🌕🌕🌑
🌑🌑🌕🌕🌑🌕🌕🌕🌕🌕🌕🌑
🌑🌑🌕🌕🌑🌔🌕🌕🌕🌕🌖🌑
🌑🌑🌑🌑🌑🌑🌑🌑🌑🌑🌑🌑
㊗️㊗️㊗️㊗️㊗️㊗️㊗️㊗️㊗️㊗️㊗️㊗️ th
. #mineo10周年おめでとう!