アメブロでの不正アクセスが報道されています。他のサイトからもれたパスワードを使って不正アクセスされたようです。パスワードの使い回しが危険であることが改めてわかりました。
私もWordPressのブログに移行する前は、アメブロを使っていました。その時に読者登録していた人がアメブロから読みに来るので、リンクを張るためにまだ使っています。アメブロからは、私のサイトが不正アクセスされた可能性はないとの通知がありました。
この機会にパスワードを見直してみようと考えました。パスワードを要求するサイトの性質により考え方が変わります。
1.定期的にパスワードの変更を要求されるサイト
オンラインバンキングなど金融機関のサイトは、定期的にパスワードの変更を要求されます。定期的な変更にどれだけの効果があるかは疑問です。効果があるとすると、パスワードが漏洩した後、それに気づかずにいたときにパスワード変更により、不正アクセスを止められることです。
金融機関のサイトに不正アクセスされ、犯罪用口座にお金を振り込まれ、引き出されたら取り戻すことは困難です。金融機関のサイトは不正アクセスさせないことが第一です。パスワードは十分強度の高いものとして、使い回しは絶対に避けなければなりません。他の金融機関で使っているパスワードから類推できるものでも危険度が増します。
2.漏洩時に深刻な被害を受けるサイト
ブログを更新するサイトやFacebookなどソーシャルメディアのサイトは、不正アクセスされ乗っ取られると、不正な投稿や削除・書き換えをやられる可能性があります。ブログはデータのバックアップをとってありますが、不正な書き換えなどがあると、見た人の信頼を失います。
パスワードは、使い回しを避け、他のパスワードから類推できないもので、十分強度の高いものにする必要があります。
3.読むだけのサイト
有料Webサイトなど、読むためにパスワードが必要なサイトがあります。これは、パスワードが漏洩しても実質的な被害はありませんので、パスワードを使い回してもかまいません。このようなサイトのパスワードや、類推できるパスワードを不正アクセスされたときの被害が大きいサイトに使わないことが大切です。
まとめ
クラウドサービスやソーシャルメディアのパスワードは、比較的漏洩しやすいと考えるべきです。これらは、データを盗まれたり、壊されたりしたときの影響がそれなりにありますから、十分な対策が必要です。
すなわち、秘密にしたい情報はそのままでは保存しない、バックアップは別の場所にもとっておくなどの対策です。データの暗号化は、時間をかければ破られるものですから、秘密の度合いによっては、クラウドに保存すべきではありません。そして、パスワードの使い回しも避けなければなりません。
