4,400万アカウントのパスワードをリセットするというMicrosoftの決断は、実はいいことだと思います。
自分のアカウントにも影響があるという人は、ビル・ゲイツに感謝しましょう。
Microsoftは、流出した30億以上のアカウントのデータベースを検索し、その中にあなたに関する情報が含まれていることに対して注意喚起をしているからです。
アカウントを守るには何をすればいい?
Microsoftは、2019年のかなりの期間、アカウントを強制的にリセットしてきました。
新しいパスワードの作成や設定を要求されたかどうかに関わらず、Microsoftのセキュリティ機関の最近の報告では自分のアカウントの保護をさらに進めたいと思っている人に、次のような提案をしています。
複数のユーザーがパスワードを再利用する頻度を考えると、何らかの強力な認証形式でパスワードを保護することが重要です。
多要素認証(Multi-Factor Authentication=MFA)は、セキュリティに対する(各ユーザーの)心構えを劇的に上げる、重要なセキュリティの仕組みです。
MFAを有効にすることで、IDに対する攻撃の99.9%が阻止されたことが証明されています。MicrosoftのAzure MFAに関してはここで学ぶことができます。
Microsoftは、リプレイアタックから顧客を守るソリューションも提供しています。
これによって、ユーザーには危険性が高いことを警告し、管理者にはパスワードを強制的にリセットするよう通知します。
率直に言うと、こうしたことはMicrosoftがやるべきことではありません。やってくれればうれしいですし、すべての会社が自社のユーザーのアカウントのログイン情報を守ることに熱心であってくれたらと思います。
ですが、これはあなたにもできることです。
1. 2要素認証を使う
まず、アカウントに2要素認証が使用できる場合は常に使用するべきです。どの会社やサービスが提供しているかは簡単にわかりますし、設定するのに時間が少ししかかかりません。
これで完璧なセキュリティが保証されるわけではありませんが、攻撃する人にとっては、あなたのログインとパスワードを知っていてもアカウントを破るのがかなり大変になります。
2. データが流出していないか調べる
次に、「Have I Been Pwned?」に、自分の使っているメールアドレス(一番大事なメールアドレス)を入れてみましょう。
違反やデータ流出をしたサービスの一覧で、自分がサービスを使っているものがあればパスワードを変えましょう(そのサービスが2要素認証を提供しているかもチェックしてください)。
自動化したい場合は、選択肢はたくさんあります。「Firefox Monitor」やGoogleの「Password Checkup」のようなツールは、自分のアカウントの認証情報が流出した時に知らせてくれます。
「1Password」や「LastPass」や「KeePass(プラグインで使う)」のような人気のあるパスワード管理アプリも、保存した認証情報が漏洩した時に知らせてくれます。
今の時代、パスワード管理ツールは間違いなく使った方がいいのです。
もちろん、いいアプリやツールの中にはお金がかかるものもありますが、利便性とセキュリティにはお金をかけるだけの価値があります。
お金を使いたくないという人は、LastPassのベーシック・バージョンは無料で使えますよ。
