株式会社サヤトレの増田です。
昨日のメルマガにてネット上の
IDとパスワード管理に関する
セキュリティーについてお届けしました。
【参考記事】
企業が個人情報を流出させない事は
当たり前の話なのですが実際に世界的な
大手企業含めた沢山の会社が流出している通りに
100%サイバー攻撃を防衛する事は難しいです。
つい先日も過去に契約していたレンタルサーバー会社が
情報流出をしてクレジットカード情報含めた個人情報
全てが漏れたとお詫びのメールが届きました。
お詫びの対応は、メールとクオカード500円分らしいですが
私は引っ越ししていたので500円の
クオカードも受け取れておりません。
近年サイバー攻撃の数は増えているので
今後も色んな企業が個人情報を漏らすと思います。
そうなった場合、流出した企業のサービス以外に
同じアドレスとパスワードにしている他のサービスが
芋づる式に被害があってはいけません。
読者の中には、ネット証券やネット銀行など
お金が絡む重要なIDとパスワードをWEB上で
管理している方も多いと思います。
本日は、私が行っているパスワードの
管理術についてお届けします。
WEB上のセキュリティー強化のヒントになれば幸いです。
ポイントは大きく3つあります。
■不正アクセスされても良いサービスとの線引き
■重要なパスワードは覚えない
■パスワード管理の記述を工夫する
WEBサービスのIDとパスワードの管理は
出来るだけ同じにしたい方は多いと思います。
私もその一人です。
しかし同じパスワードに設定するほど
1社が情報流出すると同じに設定している
別の他社サービスにも影響が及びます。
よって現在お使いのWEBサービスを
「不正アクセスされてもよいサービス」と
「不正アクセスされるとまずいサービス」に分けてしまいます。
不正アクセスされる事は、あってはならない事ですが
大きく2つに線引きをしてセキュリティー管理レベルを分けます。
分かりやすく実際にあるWEBサービスで解説します。
私は「食べログ」という飲食店を評価したり
ランキングを確認出来る会員サイトの会員です。
自分が過去に行ったお気に入りの飲食店や
今後行きたいお店をリストにしています。
万が一私の食べログのアカウント情報が洩れて
第三者に不正にアクセスされても私は正直別に構いません。
アカウントを削除されても別に対して困りません。
これが「不正アクセスされてもよいサービス」で
パス管理のセキュリティーレベルは低く設定します。
一方の不正にアクセスされて困る
WEBサービスは「Google」のアカウントです。
絶対にハックされてはいけないので
アドレスとパスワードに加えて特定の端末が
手元にないと私ですらログインできません。
その他、ネット銀行なども絶対に
不正アクセスされてはいけないサービスです。
「不正アクセスされてもよいサービス」と
「不正アクセスされるとまずいサービス」は
人によって定義は違うと思います。
私の中で金銭的損失が大きいサービスを
不正サクセスされないようにしています。
そして上記2つのIDとパスワードの
管理方法は大きく違います。
不正にアクセスされても良いサービスは
基本的に同じアドレスと同じパスワードの流用です。
その際に一工夫があり、冒頭部分のパスワードは同じですが
パスワード末尾に特定の英数字を入れるなどルール決めます。
例えば流用して使うパスワードを「sayatori」
その際に個人で作ったルールで
「sayatori+サービス名の頭文字」にすると
実際のパスワードは次のようになります。
■食べログのパスワード:sayatorit
■ぐるなびのパスワード:sayatorig
■アマゾンのパスワード:sayatoria
■楽天のパスワード:sayatorir
上記のようにパスワード最後の1文字が全て違います。
どれも同じパスワードになる事はありません。
ログイン情報を忘れる事もなく管理としては便利です。
「sayatori+サービス名の頭文字」
皆様の好きなルールを作って統一してください。
続いて不正にアクセスされてはいけない
サービスのパスワード管理方法です。
これに関しては、不便ですがパスワードを
覚える事は、諦めるしかありません。
私は、自分が契約している重要なサービスの
パスワードは、全て覚えておりません。
実際に使っているパスワードは
次のようなランダムな文字列になっています。
「98uYn#~LBp_*)ucgg7aVZxvn2tF(
ランダムパスワードは、自分で考えたものではく
下記のようなツールを使って作成しています。
そしてランダムで作成したパスワードは
覚える事が出来ないのでExcelデータで
パスワード情報を一覧にまとめて保存しています。
Excelのデータに全てのログイン情報を
まとめているとそのExcelデータが流出したら大変です。
よってその対策として、パスワードなどの
ログイン情報を管理しているExcelデータ
そのものにパスワードを設定しています。
Excelデータの中を見るためにも
パスワードが必要になるのです。
そしてExcelデータ内のパスワード管理の
その記述においても工夫をしています。
万が一パスワード管理ファイルが洩れて
中身が見られても記述に私にしか分からない
独自のルールが適応されているのです。
先ほど設定した例のようにランダム発行した
パスワードの末尾にも同じように
特定の英数字を入れたりするのです。
■パスワードの管理の記述「98uYn#~LBp_*)
■実際のパスワード「98uYn#~LBp_*)
上記のようにする事で万が一パスワード管理している
Excelデータが第三者に閲覧されてしまっても記述されている
パスワード内容と実際のパスワードは、異なります。
Excelに記述されているパスワードにプラスして
特定のルールを追加しないとアクセス出来ません。
私は、パスワード管理しているExcelデータは
ドロップボックスというクラウド型の
ストレージサービスに入れています。
いつも持ち歩いているスマホから確認が出来るので
どこでもパスワードが分からなくなる事はありません。
私がパスワードを覚えていない重要なサービスに
ログインする際はドロップボックスの中にある
パスワード管理表からパスワードをコピーして利用します。
面倒な作業ではありますがパソコンを持ち歩いている
私にとって情報流出のリスクを考えると
現状は、この管理方法が一番合っています。
他社が提供している便利な
パスワード管理ツールもありますが
私は、その管理ツールを提供している
会社のセキュリティーを信頼していません。
そのパスワード管理ツールサービスが有名になるほど
ヤフーのようにハッキングされるリスクが高まります。
他社サービスに預けずに自分のExcelデータに鍵をかけて
私だけが閲覧出来るという仕組みを採用しているのです。
今の時代、個人でもネット上で重要な情報を
管理するケースが増えているかと思います。
泥棒は、簡単に侵入出来る家を狙って空き巣に入ります。
ネットも同じでパスワードを複雑にしたり
パスワードを統一しないなど面倒ですが地味な
努力でセキュリティーを高める事は可能です。
どれだけ面倒に管理するかという問題はありますので
私は、重要度の高いサービスだけ面倒に管理しています。
パスワード管理術においてみな様にとって
採用出来そうな部分があればご参考くださいませ。
【まとめ】
■不正アクセスされても良いサービスの線引きをする
■同じパスワードにする場合は、最後の1文字を変える
■
またそのパスワードの最後の1文字は記載しないなど記述に工夫
■重要度の高いサービスはパスワードをランダム発行(覚えない)
【あとがき】
私が仮に高機能版サヤトレのサービスを
契約する場合パスワードは流用パターンです。
自分のサヤトレアカウントが第三者に
不正アクセスされても別に困らないからです。
サヤトレでは、お客様からお支払いいただく
クレジットカードの情報など自社では保有せず
万が一の漏洩リスクをヘッジしています。
個人情報をしっかりと管理しているプライバシーマークを
前面に掲げている会社もありますが結局のところその会社で
働く社員が裏切った場合は、情報は流出してしまいます。
近年、外部からのサイバー攻撃は増加しておりますが
会社内部の社員を疑って監視するシステムも重要です。
銀行員は、有名人や芸能人の預金残高を見ることが出来ます。
しかしそのような全ての行動は本部側の履歴に残り
社員の不自然な行動は、全て監視されているのです。
【参考記事】
投資で損しているあなた!株価が下がっても儲かる投資法ご存じですか?
当メディア「サヤトレ通信」では、投資初心者の方にも分かりやすくサヤ取り投資や金融経済などお金に関する情報を発信しています。
元・証券会社 → 現・IT企業経営&投資家が運営しているメディアです。
投資で損をしている方は、株価が下がっても儲かる投資法「サヤ取り投資」をお試しください。
まずは、こちらのサヤ取り投資入門レポートをご覧ください!