スタッフブログ
サービスサイト的.png

STOP!! パスワード使い回し!!

セキュリティ担当@運営事務局
ライター: セキュリティ担当@運営事務局
mineoのセキュリティ担当です。

皆さん、インターネットを通じて、ショッピングやオンラインバンキングを利用されていますか?また、マイネ王以外でも、FacebookやTwitterなどのSNSを利用されている方も多いですよね?
このようなWebサービスを利用する際には、IDやパスワードが必要となってきますね。
このIDやパスワードを利用サービスごとにどうやって管理されていますか?

最近のサービスのログイン認証は、IDが第三者にわかりやすくなっているものが増えています。
例えば、連絡先メールアドレスをログインIDとしていたり、利用者にとってわかりやすいIDにあとから変更できるようになっていたりしています。
マイネ王も、お客さまにIDを覚えていてもらうための一つの方法として、連絡先メールアドレスをログインIDとしていています。

このようにIDが第三者にわかりやすくなっている状況は、結果的にパスワードだけで制御をしているような状況とも言えます。ここで一度考えてみましょう。

AというSNSとBショッピングサイト、C銀行オンラインバンキング、マイネ王において、ログインID=メールアドレスで、かつ、すべてのサービスで同じログインパスワードにしていたとします。
何らかの理由で、AというSNSのログインIDとパスワードが漏えいしてしまったとしましょう。
もし漏えいに気付かないと、Bショッピングで勝手に買い物をされたり、C銀行で勝手にお金を別口座に振り込みされたり、マイネ王の自分のアカウントで勝手に書き込みされたりしてしまうのです。これは、怖い!!!!

仮に漏えいに気付いたとしても、マイネ王のパスワードを変えるだけではなく、AショッピングサイトやB銀行オンラインバンキングのパスワードを変更し忘れていたら同じです。

これを予防するために・・・・・・、その方法の一つが『パスワードの使い回しをしない!』です。
Webサービスごとにパスワードを変えることを心掛けていただくことで、情報流出時の被害を最低限に食い止めることが可能となります。つまり流出したパスワードを利用しているサービスだけに被害範囲が限定されます。

今回、弊社ケイ・オプティコムでは、お客さまの大事な契約情報を守る立場ということを考え、JPCERT/CCが提唱する『STOP!! パスワード使い回し!!』キャンペーン2016に賛同することといたしました。
『STOP!! パスワード使い回し!!』

マイネ王やmineoマイページでは、ログインIDやパスワードが漏えいするようなことがないよう十分に対策をしているのでご安心ください。
ただ、どこかでログインIDやパスワードを盗まれた場合に同じパスワードを使いまわしていると、マイネ王やmineoマイページに不正にログインされる可能性があります。
これを機会に、あなたが登録しているWebサービスのログインID/パスワードをしっかり見直してみませんか?
インターネット被害を予防するには、自らの利用方法も見つめ直しましょう!




39 件のコメント
1 - 39 / 39
立石野毛男
Gマスター
パスワードの使い回しはしてませんが、紙の手帳にバスワードが、たくさん。
これなくしたらおわりです(笑)。
space key
space keyさん
マスター
以前の上司は、会社の規定で毎月パスワードを変更していました。
1234567J 1234567F 1234567M
「今日○○さんやすみだけど、ログインできないよ」
「最後がAで・・・」

私の場合は、記号の行けるところは顔文字で
(++)123456 (__);123456

最近は、サイト毎にパスワードを変えろとかと言うキャンペーンを
大々的にやってるので、ほとんど全部のパスワードを変えました。
123**567+ をほとんどで使ってたとしたら、それは頭の中に入って
いるので、
楽天  123*gakuten*567+
amazon 123*mitsurin*567+
yahoo 123*hagehage*567+
zozo   123*saeko*567+
DeNA 123*saikai*567+

こんなの書くと運営さまに削除されるかな。
例でも、パスワードを書くのはダメですってことで。
退会済みメンバー
退会済みメンバーさん
ビギナー
マスターパスワード以外はクラウドの中ですね(^0^;)
アタックされたらすべておしまいというか、過去にアタックされてたはず。
まぁ、マスターパスワードは16桁のランダム英数字だからハッシュからの逆算はまだ大丈夫だと思ってますけど(>_<)
漏れた対象でもなかったみたいですけど

システムでは強固なパスワードにすることよりもシングルサインオン環境の構築とユーザーにシステムに直接アクセスできるホントのパスワードを教えないことの方が重要。

いろんなシステムにアクセスするパスワードがたくさんあってそれぞれが複雑なパスワード要件を持ってるとおっちゃんは付箋やメモに書いちゃいますからね、、、
最近は会社でのセキュリティー研修とかで少なくはなってきてますが(^^;)
とりあえずパスワードはドキュメントに残さない。
記載するなら暗号化ZIPやパスワード付きExcelに保管する。
出来るなら外部媒体に保管して鍵のかかるところにおいておくこと。

こんなとこですね。
小さい会社だからとかはいいわけでしかないので出来るだけの対策はするようにしましょう。
漏れて困るのはSEだけで使ってる側は責任とらないので(^0^;)
space key
space keyさん
マスター
それはそうと、最近あちこちで合い言葉を設定させられるけど、
合い言葉の問いが固定されてるのは、困る。
最初に好きになった映画 とかならまだしも、
嫌いな食べ物 ありすぎて・・・

先日、どっかのサイトで、小学校1年の担任とかいうのがあったので、
子供の小学校の担任の名前を設定したのだけど、それを忘れて、
家は分るので、ストリートビューでその家を見つけて、なんとか表札が
見れないかと思ったら見れないのよね、最近は。
さすがに卒業アルバム見るのも悔しいし、2日ほど考えてしまった。

ブラウザで使うパスワードは、operaに入ってるんで、さすがに中国に
筒抜けになりそうで怖いんだけど。
マダオっち
ベテラン
クレカや銀行口座を極力ネットで使わないことで金銭的なリスクはかなり軽減されます。自分はネットでの買い物はauWalletやVISAデビットを使うし、ネット銀行口座には常時10万円を超えないようにしています。

ですので、mineoさんにはぜひVISAデビットやauWalletカードに対応していただきたいです。
ナス科
ナス科さん
レギュラー
そんないっぱい覚えられるわけねーだろ。
RokkoFox
RokkoFoxさん
Gマスター
正に正論ですが、言うは易く行うは難しです。
今や管理しなければならないパスワードの数は指で数えられないのでは?
そもそも他人に推測されない自分だけが分かるキーワードなどどれだけ思い付くでしょうか?
自分はパスワード管理ソフトを使っており、クレジットカードなど登録しているサイトはランダムパターンにしていますが、管理ソフトのマスターパスワードを考えるだけでも悩みます。
定期的な変更も推奨されますがこんな主張もあります。

http://nlab.itmedia.co.jp/nl/articles/1606/28/news127.html

サイト側の対策も必要です。パスワード判定に一定の時間を取ったり、失敗回数の上限を設けてLogin停止時間を設けるなどは最低限。意識の高いサイトでは何時もと異なるデバイスや、久しぶりのアクセスでは秘密の質問を設けるなどの対策もありますね。

交通事故は交通ルール順守の啓発頼みですが、最近は車の運転アシスト技術の向上が役立っています。
パスワード管理もユーザ目線で簡単でセキュアな管理方法が普及すると良いのですが。
Happy Days
マスター
IDやパスワードは「Excel」でまとめてあります。
管理が楽だから、という理由でパスワードの使いまわしという誘惑に襲われます(笑)

改めて注意喚起して下さり、ありがとうございました。

mineoを応援しています。
RokkoFox
RokkoFoxさん
Gマスター
のむさんさん 老婆心ながらExcelのパスワード管理ではファイルのパスワードを長くすることをお勧めします。最近のパソコンは性能が良いので、総当たり攻撃でも8桁なら1日程度で突破できるそうです。
PAPAさん
レギュラー
私は、One passwordというアプリを使ってます。iPhone版なら無料です。
指紋認証で使えるので便利です。
退会済みメンバー
退会済みメンバーさん
ビギナー
私も1PassWordとDropboxに、PCのパスワード生成ソフトで作成したパスワードを保存・同期しています。バンキング関係は出来る限りPCから操作しています。紛失・盗難の恐れのあるスマホのみで運用している方は、より慎重さが求められますね。
おねこ@最下層
エース
管理しなきゃいけないIDとパスが多すぎて限界がある。
ウェブサービス提供側も、各々でID作らせるんじゃなく、共通のopenID基盤とか作って管理するものを少なくしてくれ。
漏えいした時のリスクは上がるけど。
退会済みメンバー
退会済みメンバーさん
ビギナー
注意喚起をして下さりありがとうございます!
とりっぴーP
レギュラー
管理ソフトで一括管理など便利なやり方はありますが、結局パスワードで認証している以上、セキュリティはそんなに高くないような…どこから漏れるか分からないですし


なので紙に書いて定位置に保管するのは案外悪くない気がします。
Kanon好き
SGマスタ
これは言うのは簡単ですが、実践するのは結構大変です。

使い回しをしない為にどうすれば良いかというのを
丁寧に解説しない事には使い回しはなくならないと思います。
harimouse
エース
正論ですが、あちこちでパスワードを求められるから難しい。
知り合いのおじいちゃんはキャッシュカードの後ろに暗証番号書いてた(笑)
hageten
hagetenさん
Gマスター
ID・パスワードを登録してるサービスなんて無数、と言ってもイイくらいなのに、定期的に変更するとか使い分けるとか・・・そんなの無理、オイラには絶対にムリであります。

漏えいなんてコトのないよう、サービスを提供する側が何とかしてくださいなm(__)m
退会済みメンバー
退会済みメンバーさん
ビギナー
頭の中で全部覚えるとか殆どの人は出来ないので、、、
結局パスワード管理ソフトやツールは必要なんだと思いますよ(^_^;)

前述してませんが私はLastPassとそのブックマークレットでクローム利用デスね。
この使い方ならモバイルでもお金要らないので(*'▽'*)
magrodon
magrodonさん
マスター
そういえば、Arrows(FJL22) には、パスワードマネージャなるツールがついていました。パスワードを入力するために、指紋認証するようになっていましたが、この端末なくすと、すべてがパーになっちゃいますね。
またやーまん
ベテラン
昔から「使いまわしはダメ」と言う話は散々聞きますが、正直複数のサイトで同じパスワードを使っているのが現状です(一応数字とローマ字を混ぜこぜにしてます)。
背景にはパスワードを色々使ったとしても、どうせこの情報社会ではダダ漏れになって取る時は取られるんだよなあ・・・と言う感情があります。
最悪ゲームのアカウントは取られたら解除すればいいだけですけどね。

その代わり金銭を直に扱う場合は独自のパスワードを使うようにしています。前者の主張と矛盾していますが、『最悪使われても構わない』のと『絶対に使われたくない』パスワードのランク付けも割と重要なのではないか?とも思います。
退会済みメンバー
退会済みメンバーさん
ビギナー
何十個もあるパスワードを全部バラバラにして全て覚えていろというのは物理的に不可能ですよね。
ユーザーが求めているのは、できもしないことに対しての注意喚起ではなく、現実的に対策可能なパスワードの管理方法です。
コンピュータで管理させる方法や、手帳などに記載して管理する方法、パスワードの生成規則を法則化してIDから導き出す方法など、方法はいくらでもあるとは思いますがそれらを紹介しないのは何らかの責任逃れのためでしょうか・・・?
いっそmineoでちゃんと使えるパスワード管理ツール開発してはどうでしょうか。
nohappy
nohappyさん
Gマスター
パスワード覚えるのは大変ですよね(^_^;)
昔同じ数字でキャシュカードの暗証番号を設定してました。
会社が提携している銀行だったので審査もなくお金も融資できるカードでした。
昔のキャシュコーナーの機械は反応が遅く今みたいにこの金額でいいですかという確認画面もなかったので適当に連続で暗証番号の桁数以上を押したら残高以上の金額を押していて危うく融資(キャッシング)手前だったことを思い出しました。(^_^;)
長文でスミマセン。
wagami
wagamiさん
SGマスタ
使い回ししなくても、いろんなサイトさんに対応していくと、パスって大変なんです。特に困るのが、使えるパスに制限が大きいサイト、よそよりも脆弱なサイトさんが、生成規則の足を引っ張るんですよね。

…と言う訳でお願いがあります。

桁数を増やして下さい。

マイネオが【足を引っ張る】側になってますよ。
Less Than
Less Thanさん
レギュラー
iPhone使用者なら、touch IDにて指紋認証できるようにしてもらえないですか?
〽日和山
マスター
言うのは簡単だけどね
実行するのは大変。本当に大変。
一部の天才を除いては無理だから。
退会済みメンバー
退会済みメンバーさん
ビギナー
パスワードは、統一していないと、忘れやすいですよね
私は、サイト毎にパスワードを変えていますが、
パスワードの最後に、mineoとか、rakuten,googleとか
そのサイトの名前を付けて管理しています
忘れないし、管理をしやすいですよ
退会済みメンバー
退会済みメンバーさん
ビギナー
指紋認証で決済が、、、
でもHUAWEIのP9では指紋認証は端末ロックにしか使ってません(*'▽'*)
えぇ、ただのびびりだというのは分かってますが、、、
iPhoneだと決済もアプリ認証も大丈夫だろうと思ってますがホントのとこは分かりませんけどね
玉ねぎ部隊
Gマスター
なかなか難しいです。毎回パスワード変えるなんて・・・
なので早く生体認証式パスワード出して欲しいですね。
眼球と音声指紋が一番近いですね。
そしてマイネ王にも防衛強化して下さい。
このまま裸の王様は無理ですよ~
いなぽん
ベテラン
私はキングジムのミルパスを使っています。
似たような機能のソフトはありますが、此方はPCに繋がなくても良いので安心度がソフトよりは高いかな。

最近、新バージョンが発売されました。
http://www.kingjim.co.jp/sp/pw20/
私のは初代の方(´;ω;`)
退会済みメンバー
退会済みメンバーさん
ビギナー
1passwordと言うソフトを使ってます。PCとモバイルに連携出来て便利。マスターパスワードだけ覚えておけばOK。
最近は二段階認証も少しずつ増えてるので、活用してます
PCのログインも、パスワードでは無くPINでサインインこれは、外部からアクセス出来ないので安心(多分)
ヒィロ
ヒィロさん
SGマスタ
http://ascii.jp/elem/000/001/212/1212512/?topnew=8

「ポケモンGO」開発元CEOも被害に、SNS乗っ取りに気をつけろ!

-----

ご参考まで。
kitten
kittenさん
Gマスター
ネットバンクは解約し、クレジットカードも2社に絞りました。ネット上でのクレカ情報のやり取りは最小限に留めています。

仕事も含めれば、ID、PWをどれだけ管理しているのかとうんざりしてしまいますが、一応まめに変更は行っています。

預貯金口座は生体認証を登録していますが、一度も使ったことがありません。残高が少ないので必要なかったかも(^^ゞ
返事が遅くなってしまい、すみません。

キャンペーンやその賛同に関するご意見、ご要望、誠にありがとうございます。

一般的な話になってきますが、パスワードは複雑にすればするほど、便宜性が損なわれます。
とはいえ、あまりにも簡単なものや、その人の個人情報を利用するのは、盗んでくださいと言っているようなものです。
PWを使いまわさないだけでなく、以下のような点に注意して、パスワードを設定するようにしましょう。

•できるだけ長くする。強固なパスワードには8文字以上が理想。
•更に強固にするは、14文字以上を設定する。
•英大文字、英小文字、数字、記号の内、最低3つを組み合わせる。
•名前、誕生日、電話番号、メールアドレスなど情報元が類推できる文字を使わない。
•設定方法に例示されているパスワードをそのまま使わない。
•誰でも知っている単語(password、football、baseball、welcome など)や頭文字を使わない。
•連続した数字(1234 など)や、キーボードの連続した文字列(qwerty、1qaz2wsx、asdf など)を使わない。
•同じ文字(111111 など)を連続して使わない。
•定期的にチェックし、時々新しいものに変更する。

この様な運用を支援してくれるパスワード管理ツールの利用者もたくさんいらっしゃるようですね。

私も、セキュリティ担当@マイネ王事務局として、当社のシステムをより安全性の高いものにしていけるよう努力してまいりたいと思います。
高見知英
エース
わたしはパソコン教室の講師もやってますが、パスワードについては使い回しをしないよう、厳しく言っています。まあ、それだけ言っても(高齢の方が多いので)結局同じパスワードを使ってしまう人が多いのですが・・・。

一応、パスワードを使い回さず、かつ自分にとっては覚えやすいパスワードを作るコツ なんかもちゃんと伝えてるのですが、そうはいっても実践してもらうのはなかなか難しいです。


ちなみに、パスワード管理ツール、自分は使ってません。全部一定のルールに沿ってつけているので忘れませんので。ただ、パソコン教室の受講生には基本的に、メモしてもらっています。どうしても高齢の方ですと忘れてしまいがちですし、万が一の時にご家族のどなたもアクセスできない情報を作るというのは教える側も気が引けますので。



ただ、そういうとき邪魔になるのが、「パスワードは16文字以内」とか「記号は入力不可」などと制限がついているサイトですね。色々事情はあるかと思いますが、何とかして欲しいものです(なので、それに合わせてパスワードルールも5パターンくらいあってサイトによって使い分けてます)。
高見知英
エース
ついでに
> •定期的にチェックし、時々新しいものに変更する。
こちらについては「パスワードの定期変更をユーザーに求めるべきではない」のが最近の流れのようですね。
http://internet.watch.impress.co.jp/docs/yajiuma/1007177.html

ただ、「パスワードが漏えいしているかもしれない」ということに気がつけない人だと話は別です。
たとえば各社が発信しているメールニュースや、セキュリティ関連のネット記事など、これらをキャッチするスキルが無い人は、面倒でもパスワードの変更はした方が良いかとは思います。

その場合はルールを決めて、なるべく「パスワードを定期的に変更しても、パスワードの堅牢性が損なわれない仕組み」を保持するように気をつけたいですね。
退会済みメンバー
退会済みメンバーさん
ビギナー
 パスワード、IDを設定したサイトを定期的に巡回して手動ログインするしか忘れない方法は無いと思います。
 二段階認証やマスターパスワードは後が大変なので今の所は使ってません。
退会済みメンバー
退会済みメンバーさん
ビギナー
EXCELファイルにパスワード掛けて
パスワード管理するのは危険でしょうか?
一番簡単で安全な方法があると良いですね。
Nagano Eiji
マスター
.     👑
.  ✳️✳️✳️✳️
.  ✳️
.  ✳️✳️✳️✳️  
.       ✳️ 
.  ✳️✳️✳️✳️ th

#マイネ王5周年おめでとう!
貝殻タカヤ
Gマスター
なるほど・・・ 参考になります。
ありがとうございました。
   / ̄ ̄ ̄ ̄\
 ``/  _   _ \
 /     ( ● ) ( ● ) |
 |   υ   (_人_)  |
/     ∩ノ⊃   /
|     \/_ノ´| |
\    /___ノ |
  \ /______ノ
コメントするには、ログインまたはメンバー登録(無料)が必要です。