ぶっちゃけ「めんどくせー」なんですがｗ、最近はアカウントの保護や診断などのセキュリティ機能が強化されてるので素人でも適切な設定が可能になってるんじゃないかなと思ってみたり…

INDEX

• about
  • 【2021.3.20 追記】パスワードマネージャーについて
• パスワード強度を判定 - Kaspersky
• 流出をチェック - Have I Been Pwned
• リバースブルートフォースとは
• Google パスワード マネージャー
• Google Chrome のセキュリティ設定
• Firefox Monitor にアドレスを登録
• Firefox Lockwise
• 2要素認証
• いろいろ

2021.03.20 パスワードマネージャーについて追記

about

• 参考リンク :
  • 設定と管理のあり方｜IDとパスワード｜どんな危険があるの？｜基礎知識｜国民のための情報セキュリティサイト
  • 強力で覚えやすくて1つしかないパスワードを作成する方法 | カスペルスキー公式ブログ

安全なパスワードとは、他人に推測されにくく、ツールなどで割り出しにくいものを言います。

せっかく安全なパスワードを設定しても、パスワードが他人に漏れてしまえば意味がありません。

またパスワードはできる限り、複数のサービスで使い回さないようにしましょう。あるサービスから流出したアカウント情報を使って、他のサービスへの不正ログインを試す攻撃の手口が知られています。もし重要情報を利用しているサービスで、他のサービスからの使い回しのパスワードを利用していた場合、他のサービスから何らかの原因でパスワードが漏洩してしまえば、第三者に重要情報にアクセスされてしまう可能性があります。

設定と管理のあり方｜IDとパスワード｜どんな危険があるの？｜基礎知識｜国民のための情報セキュリティサイト

とりあえず、私の場合は今んとここんなかんじかな

1. 流出がないかチェック
2. 単語の組み合わせで無意味な文章とかにする、口語にしたり文語にしたり
3. 使い回さない
4. メールアドレスをチェックできるサイトに登録しておく
5. 2要素認証がない場合はカード情報などを登録しない

以前はよく言われてた「定期的に変更」は必須ではありません！

なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。

設定と管理のあり方｜IDとパスワード｜どんな危険があるの？｜基礎知識｜国民のための情報セキュリティサイト

参考リンク

• 適切なパスワードの設定・管理方法について
• 安全なパスワードのつくりかた - 日本コンピューターサイエンス株式会社
• パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める - GIGAZINE

【2021.3.20 追記】パスワードマネージャーについて

【2021.7.9 追記】カスペルスキー パスワードマネージャーの脆弱性

利用してる場合は必ず更新を。

• カスペルスキーのパスワードマネージャーが生成したパスワードは総当たり攻撃で爆速突破が可能と判明、一体なぜか？ - GIGAZINE
• どこでも同じパスワードが生成される……Kasperskyのパスワード生成ツールの問題とは？ - 窓の杜

• 参考リンク :
  • 導入するなら今! 「パスワードマネージャ」を使おう。LastPassやOS標準機能 - Impress Watch

すみません！私が知らなかったことがいくつかありました…

• Apple パスワードマネージャー = iCloud キーチェーン
  • iCloud キーチェーンを設定する - Apple サポート
• Android では自動入力サービス (= パスワードマネージャー) を選択可
• Firefox Lockwise は Android, iPhone 用独立アプリあり

• Microsoft Authenticator にパスワードマネージャ機能が追加
  • Microsoft Authenticator ? オンライン アカウントの安全なアクセスと管理

• サードパーティ製は Bitwarden あたりがよさそう？

ちなみに最近のサードパーティ製パスワードマネージャは、ダークウェブ上に自分のパスワードが流通していないかチェックする機能など、多機能化が進んでいる。こうした機能の豊富さ、また家族やチームでの共有機能については、サードパーティ製サービスのほうが(有料の場合もあるが)一歩先を行っている。

導入するなら今! 「パスワードマネージャ」を使おう。LastPassやOS標準機能 - Impress Watch

パスワード強度を判定 - Kaspersky

さまざまな文字を適切に組み合わせる。強力なパスワードは、アルファベットの大文字と小文字、数字、特殊記号など、さまざまな要素で構成されています。こうすることで予測されにくく、解読されにくくなります。 覚えやすいパスワードにする。比較的わかりやすい「12345-humpty-dumpty-satonthe-firewall」と無作為に文字が並んだ「?Y]G9gWJ48zYkFBc@{nKw!’q」は、大まかに同じくらいの強度ですが、後者を覚えるのはまず無理です。パスワードを作るときには、覚えやすくするためのパスワード作成方法を参考にするか、自分なりの作成ルールを決めてみてください。

Password Check | Kaspersky

後述の「Have I Been Pwned」サイトのデータベースを元に、強度及び流出のチェックができます。但し、日本語(ローマ字)の単語(名詞)については判定が甘いと感じました。著名な歌手名とか安全判定が出ます。

• Password Check | Kaspersky
  • よくある質問（FAQ）

• 「きつねうどん」と入れたら、黄色判定（※ なんか、ありません or 11回ってよくわからんけどもｗ）

• 「うどんはきつねにかぎる」と入れたら、10000+ 世紀て(笑)

あくまで一例ですけど、（※ 日本語には甘めと思うので）これを方言にしたり「カレーはやっぱきつねですわな」みたいに無意味にしたりとかで強度が上がるかな、と愚考してます。

参考リンク

• ITセキュリティにまつわる誤解：パスワード | カスペルスキー公式ブログ

流出をチェック - Have I Been Pwned

有名な流出確認サイトです。前述の「Password Check | Kaspersky」後述の「Firefox Monitor」もここの情報を元にしてます。

• Have I Been Pwned: Check if your email has been compromised in a data breach

• メールアドレスを入力 - セーフの場合

• アウトの場合

• アウトの場合、ページ下に詳細が出ますが、後述の「Firefox Monitor」の方がわかりやすいかも

• Have I Been Pwned: Pwned Passwords

• こっちはパスワードを入力 - セーフの場合

• アウトの場合

参考リンク

• Have I Been Pwned? - Wikipedia

• 個人情報流出確認サイト「Have I Been Pwned？」買収に141社が名乗りを上げるも売却は取りやめに - GIGAZINE
• ASCII.jp：メール・パスワード情報の安全をチェックできる「Have I Been Pwned」
• インターネット界で最も頼りになる流出データの管理人「Have I Been Pwned」が生まれたわけ | TechCrunch Japan
• Have I Been Pwned?でパスワードを入力せずに漏洩を調べる方法 | TECH+

リバースブルートフォースとは

「9999」などの脆弱なパスワードをアカウント名を変えて何度も試行する攻撃のことですね。この対策ができていないサイトが多いと考えられてます。

一度漏れたパスワードはアカウントとの組み合わせを変更しても突破される危険があるということ。

• リバースブルートフォース攻撃とは？仕組みや危険性、対策について徹底解説

特定のIDに対して、あらゆる文字列の組み合わせをパスワードとして総当たりで攻撃する手法である「ブルートフォース攻撃」が知られています。これはパスワード認証が求められるシステムに対する攻撃手法としては歴史が古く、現在ではシステムの防御側で様々な方法で対策が取られています。

しかしこのブルートフォース攻撃を応用した「リバースブルートフォース攻撃」による不正なログインが確認される事例が増えてきています。...[略]

攻撃者は何らかのプログラムを使用して、システムに対して不正なログインを試みようとします。その際、パスワードの文字列を固定にして、IDの文字列を変化させながらログイン試行します。サイバー攻撃としては古典的な考えですが、攻撃対象によっては十分な対策が取られていないことも多く、実際にリバースブルートフォース攻撃による被害も発生しています。

リバースブルートフォース攻撃とは？仕組みや危険性、対策について徹底解説｜サイバーセキュリティ.com

• リバースブルートフォース | マルウェア情報局

また、特定のサービスで情報漏えいが起きた場合、そこで漏えいしたパスワードが、ダークウェブなどを経由して攻撃者の手に渡る可能性もある。攻撃者はこういった方法で入手したパスワードをログイン画面に入力し、ランダムなIDと組み合わせてログインを試していく。Webサービスの多くは、パスワードを数回間違えるとログイン機能を停止し、再ログインが制限される「アカウントロック機能」を有する場合が多い。しかしリバースブルートフォース攻撃では、パスワードではなくIDを変更していくため、この対策は無力化されてしまうのだ。

リバースブルートフォース | サイバーセキュリティ情報局

一度でも漏れたパスワードは別のアカウントでも使わないようにしませう。

Google パスワード マネージャー

• パスワード マネージャー
  • Google アカウントに保存したパスワードを管理する - Google アカウント ヘルプ

Androidスマホ、Google Chrome など Google アカウントに保存しているパスワードの診断ができます。

• パスワード チェックアップ

※「脆弱な...」は修正、「使い回し...」は、ログインページが違う同じサービスでした… やれやれ。

参考リンク

• Google、「パスワードチェックアップ」を「Googleアカウント」の機能として追加 - ITmedia NEWS

Google Chrome のセキュリティ設定

Chrome を使ってないので知らなかったけど、Google のセキュリティ機能はどんどん強化されてる様です。

• パスワードを管理する - パソコン - Google Chrome ヘルプ

• セーフブラウジング
  • 設定 → プライバシーとセキュリティ → セキュリティ → セーフブラウジング

• パスワード
  • 設定 → 自動入力 → パスワード

参考リンク

• 保存済みのパスワードをチェックして、脆弱なものはリセット ～「Google Chrome 88」のパスワード管理機能が強化 - 窓の杜
• Chromeに保存したパスワードをサイトごとに確認する方法。CSV形式でのエクスポートもできる！ | できるネット

Firefox Monitor にアドレスを登録

Google (Chrome) と機能が被るけど、私はこちらも利用してます。

• Firefox Monitor | Firefox ヘルプ
  • Firefox Monitor - よくある質問と答え

Firefox アカウントでメールアドレスを登録しておくと、漏洩時に通知メールが来ます。

• Firefox Monitor
  • (メニュー → Firefoxアカウント → Firefox Monitor)

データーベースは前述の「Have I Been Pwned」を利用しています。

• 流出内容の詳細は前述の「 Have I Been Pwned」よりわかりやすいかも

参考リンク

• メアド・パスワードの流出を警告する“Firefox Monitor”がメジャーバージョンアップ - 窓の杜

Firefox Lockwise

Google (Chrome) と機能が被るけど、Firefox 内蔵のパスワード管理ツール。

• Firefox のパスワードマネージャー
  • Firefox Lockwise ヘルプ
• スマホ用アプリ : Firefox Lockwise - password manager - take your passwords everywhere

• Firefox Lockwise - ログインとパスワード (about:logins)
  • (オプション → プライバシーとセキュリティ → 保存されているログイン情報)

• 設定「ログインとパスワード」
  • (オプション → プライバシーとセキュリティ)

参考リンク

• Firefox Lockwise - Wikipedia
• 「Firefox 76」が正式公開 ～「Lockwise」にパスワードの漏洩警告や自動生成を追加 - 窓の杜

2要素認証

• 多要素認証 - Wikipedia

多要素認証（たようそにんしょう、英語: Multi-Factor Authentication、英: MFA）は、アクセス権限を得るのに必要な本人確認のための複数の種類の要素（証拠）をユーザーに要求する認証方式である

多要素認証 - Wikipedia

私見ですけど、まずは認証アプリ、バックアップとして SMS、メール 等かなと。

• Google 2 段階認証プロセス
• Microsoft アカウントで 2 段階認証を使用する方法

参考リンク

• 2段階認証の種類、長所と短所：SMS、2段階認証アプリ、YubiKey | カスペルスキー公式ブログ
• 二要素認証でセキュリティは高まるのか | マルウェア情報局
• SMSを使った二要素認証を非推奨?禁止へ、米国立技術規格研究所NISTの新ガイダンス案 | TechCrunch Japan
• SMS認証の仕組みと危険性、「TOTP」とは？　「所有物認証」のハナシ：今さら聞けない「認証」のハナシ（1/3 ページ） - ITmedia NEWS
• 二段階認証の意味を問う　「7pay事件」を教訓に見直したい認証のハナシ：今さら聞けない「認証」のハナシ（1/5 ページ） - ITmedia NEWS

いろいろ

• Microsoft アカウント | Security
  • Microsoft アカウントを安全にセキュリティで保護する方法

• パスワードスプレー攻撃とは？仕組みと被害の特徴、対策方法について徹底解説

パスワードリマインダー

• パスワード忘れを救う「リマインダー」には危険がいっぱい｜セキュリティ通信
• パスワードリマインダが駄目な理由 | 徳丸浩の日記

「秘密の質問と答え」はまともに答えてはだめでしょう。

関連拙作めも

• Microsoft アカウントのパスワードを捜索する
• Windowsログイン(サインイン)パスワードのリセット

---

ほなですね！

---