連載
特集
カテゴリー
タグ
メディア

脅威から自分のアカウント・ログイン情報を守るための3ステップ

脅威から自分のアカウント・ログイン情報を守るための3ステップ
Image: Shutterstock

4,400万アカウントのパスワードをリセットするというMicrosoftの決断は、実はいいことだと思います。自分のアカウントにも影響があるという人は、ビル・ゲイツに感謝しましょう。

Microsoftは、流出した30億以上のアカウントのデータベースを検索し、その中にあなたに関する情報が含まれていることに対して注意喚起をしているからです。

アカウントを守るには何をすればいい?

Microsoftは、2019年のかなりの期間、アカウントを強制的にリセットしてきました。

新しいパスワードの作成や設定を要求されたかどうかに関わらず、Microsoftのセキュリティ機関の最近の報告では自分のアカウントの保護をさらに進めたいと思っている人に、次のような提案をしています。

複数のユーザーがパスワードを再利用する頻度を考えると、何らかの強力な認証形式でパスワードを保護することが重要です。

多要素認証(Multi-Factor Authentication=MFA)は、セキュリティに対する(各ユーザーの)心構えを劇的に上げる、重要なセキュリティの仕組みです。

MFAを有効にすることで、IDに対する攻撃の99.9%が阻止されたことが証明されています。MicrosoftのAzure MFAに関してはここで学ぶことができます。

Microsoftは、リプレイアタックから顧客を守るソリューションも提供しています。

これによってユーザーには危険性が高いことを警告し、管理者にはパスワードを強制的にリセットするよう通知します。

率直に言うと、こうしたことはMicrosoftがやるべきことではありません。やってくれればうれしいですし、すべての会社が、自社のユーザーのアカウントのログイン情報を守ることに熱心であってくれたらと思います。

ですが、これはあなたにもできることです

1. 2要素認証を使う

まず、アカウントに2要素認証が使用できる場合は常に使用するべきです。どの会社やサービスが提供しているかは簡単にわかりますし、設定するには少ししか時間がかかりません。

これで完璧なセキュリティが保証されるわけではありませんが、攻撃する人にとっては、あなたのログインとパスワードを知っていても、アカウントを破るのがかなり大変になります。

2. データが流出していないか調べる

次に、「Have I Been Pwned?」に、自分の使っているメールアドレス(一番大事なメールアドレス)を入れてみましょう。

違反やデータ流出をしたサービスの一覧で、自分がサービスを使っているものがあればパスワードを変えましょう。(そのサービスが2要素認証を提供しているかもチェック)

自動化したい場合は、選択肢はたくさんあります。「Firefox Monitor」やGoogleの「Password Checkup」のようなツールは、自分のアカウントの認証情報が流出した時に知らせてくれます。

1Password」や「LastPass」や「KeePassプラグインで使う)」のような人気のあるパスワード管理アプリも、保存した認証情報が漏洩した時に知らせてくれます。

1Passwordの画面
Screenshot: David Murphy (1Password)

今の時代、パスワード管理ツールは間違いなく使った方がいいです。

もちろん、いいアプリやツールの中にはお金がかかるものもありますが、利便性とセキュリティにはお金をかけるだけの価値があります。お金を使いたくないという人は、LastPassのベーシック・バージョンは無料で使えますよ。

3. 同じパスワードを使い回さない

上記の手順だけでなく、通常のパスワードに関するルールも守りましょう。

パスワード管理ツール(もしくはオンラインのパスワード・ジェネレーター)で、長く複雑で、強力なパスワードを作成し、パスワード管理ツールに保存します。

そして、各サイトやサービスではそれぞれ違うパスワードを使うこと。面倒くさくて複数のサイトで同じパスワードを使っている場合、1つのサイトの情報が流出したら、すべてのサイトのパスワードを変更しなければならなくなります。

(実は私は今その対処をしているところです。あまりにも多くのサービスで似たようなパスワードを使っていたので、全部のパスワードを変えるのに年末年始の休みも使うことになりそうです。そんなことはしたくはないのですが…)

手順はたったの3つ。今すぐ始めよう

本当にこれがすべてです。

自分のアカウント情報をさらそうとするハッカーに対抗するべく、自分自身できちんとアカウントを守るのはそこまで大変なことではありません。手順はたったの3つです。

  1. 2要素認証が使えるところでは必ず使う
  2. 各サイトやサービスでそれぞれ違うパスワードを使う
  3. アカウントのハッキング情報を常に把握し、情報漏えいなどがあったらすぐにパスワードを変更する

しかし、これで決して情報が漏れないというわけではありません。パスワード管理ツールに入り込んだり、2要素認証を破ったりする方法を誰かが見つけることもあります。

ただし、上記の3つの手順を守っていれば、これから起こりうるアカウントに関するほとんどの問題から身を守ることができるだろうと自信を持って言えます。

もちろん、セキュリティ・トークンを使って身を守るというような骨太なやり方もありますが、全員がこの基本的な方法を使うようにすれば、世界中のアカウントははるかに安全に守られるだろうというのは容易に想像できます。

大げさだと思うかもしれませんが、大事なことです。

あわせて読みたい

パスワードのリセット要求に「ど真面目」に対応してはいけない?

人ごとじゃない? 5G、IoT時代のサイバー攻撃から、身を守る方法

パスワードを忘れたGoogleアカウントにアクセスする方法


Screenshot: David Murphy (1Password)

Image: Shutterstock

Source: Microsoft(1, 2, 3, 4, 5,,), Two Factor Auth, Have I Been Pwned?, Firefox Monitor, Password Checkup, 1Password, LastPass(1, 2, 3), KeePass, GitHub

David Murphy - Lifehacker US[原文

訳:的野裕子

swiper-button-prev
swiper-button-next