あなたが管理している、そのパスワードは安全ですか?貧弱なパスワードではないですか?
1passwordは、パスワード流出の可能性を警告する1PasswordのWatchtower機能があります。これは、Webサイトがセキュリティ被害に遭った場合に、パスワードが流出した可能性があると、通知してくれる機能です。
以前、Facebookの2億6700万人以上のフェイスブックユーザーの名前や電話番号を含んだデータベースがオンライン上に公開されていたということが問題になりました。それ以外にも、ジャストシステムやベネッセなど多くの企業から個人情報が流失しています。
いち早く警告を受けることが出来れば、すぐにパスワードを変更することができ、被害をなくすことが出来ます。
今回は、Watchtower機能の使い方とその対策をお伝えします。
この記事の目次
Watchtower機能とは
Watchtower機能とは、1passwordに保存されているパスワードをチェックし、問題を指摘してくれる機能です。主な機能は以下になります。
- 侵害されたウェブサイトはないか?
- 侵害されたパスワードはないか?
- 再利用されたパスワードはないか?
- 貧弱なパスワードはないか?
- 安全でないウェブサイトはないか?
- 2要素認証が有るのに利用していないサイトは無いか?
- 失効しているものはないか?
侵害されたウェブサイトの警告
Facebookやジャストシステム、ベネッセなど攻撃者によって会員情報が抜き取られるケースが増えています。
ログイン情報の漏洩があった多くの企業が、セキュリティー管理を厳重にしているにもかかわらず、攻撃者によってセキュリティー侵害を受けています。
被害が最小限になるように、利用者が1passwordのロックを解除した際にネイティブに通知をします。いち早く利用者に侵害を受けたことを知らせ、パスワードの更新を促します。
侵害されたパスワードの警告
情報漏洩で過去に流出、公表されたパスワードを攻撃者が利用する可能性があるため利用者が、そのパスワードを利用している場合はパスワードの更新を促します。
再利用されたパスワードはないか?
SNS、ネットバンキング、ショッピングサイトなどのアカウント作成時には、IDとパスワードの登録が求められます。また、同時に住所や電話番号なども登録する必要があるかもしれません。その際に、パスワードを覚えられないという理由で、複数のサービスに同じIDとパスワードを使い回ししている方もいるのではないでしょうか。しかし、セキュリティーの観点から好ましくありません。
なぜ、IDとパスワードの使い回しはいけないのでしょうか。
攻撃者は、フィッシングサイトなどから情報を抜き取ります。その後、「パスワードリスト攻撃」というものを仕掛けます。これは、入手したIDとパスワードを使い、自動で複数のオンラインサービスにログイン出来ないか試みるサイバー攻撃です。
ログインできると、そのサイトで買い物をしたり、ポイントを使うなどの不正アクセスを繰り返します。
身に覚えのない請求書が届いたり、オンラインゲームでレアなアイテムがいつの間にか消失したり、メールアカウントを乗っ取られ、ウイルス拡散や詐欺被害の加害者になる可能性もあります。
そのため1passwordが登録してある全てのパスワードをチェックし、使い回しをしているパスワードがあれば警告をしてくれます。
貧弱なパスワードはないか
1passwordでは、攻撃を受けやすいパスワードの警告をおこない、強力なパスワードに更新するように促します。
攻撃者は、「総当たり攻撃」というツールを使い、ランダムな記号や、取得した生年月日や電話番号の配列を組み替えてパスワードを生成しログインを試みます。簡単なパスワード設定ならば取得した個人情報から容易に推測され突破されます。8文字のパスワードだと最速で9時間あれば突破できるようです。
安全でないウェブサイトはないか
ホームページには、http://から始まるものと、https://から始まるものがあります。
この2種類にはどんな違いがあるかと言えば、「http://」から始まるものは暗号化なしで通信しており、「https://」から始まるものは暗号化して通信しています。
よく例えられるのが、httpが「はがき」httpsが「封書」と言われます。httpの場合は、はがきのような通信を行うので、第3者にのぞき見されたり、勝手に書き換えられたりする可能性があります。
httpsの場合は、封筒に入れられているため、のぞき見も、書き換えもされにくい特徴が有ります。
最近では、ほとんどのサイトがhttpsを使って作られています。
そのため、1passwordが暗号化されていないWebサイトでパスワードを管理している場合は、httpsのサイトでのパスワード管理をするように警告を行います。
WEBにはリダイレクトという機能があるため、httpでアクセスしてもhttpsのサイトへ自動で誘導・転送してくれます。しかし、httpsで登録できる場合は、1passwordが教えてくれるので、修正すことで安全性を高めることができます。
2段階認証が提供されているのに利用していないサービスはないか?
最近は、ログインする際に2段階認証を設定できるサイトが多くあります。AmazonやGoogle、銀行などの大手だけではなく、多くのショッピングサイトでも導入されています。
1passwordは2段階認証に対応しており、簡単にパスワード入力もできます。
2段階認証が出来るサイトにもかかわらず、利用者が、この機能を利用していない場合は、1passwordが警告してくれます。
自分で2段階認証が可能か調べるのは面倒ですが、1passwordを使うと自動で2段階認証が提供されているか調べてくれます。
失効しているものはないか
1Password.comを使用してパスワードが侵害されていないか確認する方法
https://my.1password.com/にアクセスします。
マスターパスワードを入力し「サインイン」をクリックします。
iOSなどのアプリでパスワードが侵害されていないか確認する方法
iPhoneやipad、Android端末で、1passwordを開きます。
カテゴリーを選択後、侵害されたウェブサイトを選択します。
今回は、2つのパスワードを変更するように促されていますので、パスワード強度が強くなるように修正します。
まとめ
1passwordを使うことで、長くて複雑なパスワードを簡単に管理することが出来ます。ウェブサービスやSNS、ネットショップなどでは、最大のパスワード長さが指示されている場合が多いですが、その最大の長さで保存することで強度を上げることが出来ます。
また、windows、Macはもちろん、iOSやAndroid、Linuxにも対応していますので、ほぼ全ての端末でパスワードを共有することが出来ます。
さらに、チェック機能により、パスワードの流出をチェックしたり簡単なパスワードはにパスワードの変更を促すなど、パスワードの関する全てのことを管理ですることが出来ます。
Apple社が、自社の社員全員にこの1passwordを配布していることが最強のパスワードソフトだと評価している何よりの証拠だと思います。
是非この1passwordを全端末にインストールし、パスワード管理から解放されましょう。
