パスワードの使い回しはホントにやめたほうがいい 2013年06月19日

ENTER YOUR PASSWORD
“ENTER YOUR PASSWORD” photo by marc falardeau

今年の頭、Twitterのユーザ名/パスワード流出事故の際に僕はほぼ全部のウェブサービスのパスワードを変更し、それぞれすべて異なるパスワードを設定しました。

最近、同僚や友人と話しているとやっぱりまだ同じパスワードをほぼすべてのサービスに使っている、という人が多くてびっくりする。今まで僕自身もあまり気にしてなかったけど、やっぱりこれって気をつけたほうがいい。

漏れたユーザ名とパスワードのセット、僕が悪意を持って利用するなら、まず手に入れたユーザ名の後ろに@gmail.com、@hotmail.com、@yahoo.comなどをつけて流出したパスワードとのセットでログインできないか試みる。FacebookやTwitterを乗っ取るとかは別にどうでもいいけど、SNSでその人がどの国に住んでいるかがわかればその国の主要な銀行のオンラインバンキングのログイン画面で流出したユーザ名/パスワードでログインできないか試みる。またはGmailやHotmailにログイン出来ているなら「パスワード」で検索してその人が使っているオンラインサービスを調べてログインを試みる。あ、後Paypalもトライしてみるかな。

これら、同じパスワードを使いまわしていたら高確率でログインできてしまう可能性が高い。

「でも今まで特に問題ないよ」

と言われる方。既にトライアルは終了していてログイン可能なアカウントとして誰かがストックしてるかもしれない。ここぞという時を見計らってやられるかもしれない。結構な数のアカウント(メールやSNSなどさして影響度が高くないアカウントや金融系などの直接金に結びつくアカウントまで)が既にハッキングされて、ログインが成功することまで確認してまだ何もしていないかなりの数のアカウントのリストが作成されていて裏でいろいろとサイバーヤクザな人たちの間でやりとりされてるんじゃないかと想像してたりします。

なので、可能な限りパスワードは異なるものを使いましょう。できればツールで作成した大文字+小文字+記号を取り入れてランダムな10文字以上のパスワード。これでは複数のパスワードを人間が覚えきれないのでツール必須になりますが、やっておく価値は高いと思います。。。