ラブレターや、医療記録、銀行口座など、取扱いに注意を要する貴重なデータがパスワードで保護されたオンラインアカウントで保護されるケースは増え続ける一方です。ウェブサイトではログインの手続でそうした貴重なデータを保護しています。多くの場合、誰もアカウントにログインできない限り、他人にメールを読まれたり、銀行口座から送金されたりすることはあり得ません。オンライン生活のなかで、ログイン情報はどのようにして保護すべきでしょうか。
まとめると
- ランダムパスワードを使用し、各ウェブサイトでパスワードを異なるものとする
- ブラウザーのセキュリティに関する通知に注意し、慎重に確認する
- セキュリティの質問をパスワードと同様に強化する
- パスワードマネージャーを使用して、パスワードを作成・記憶しやすくする
- 可能であれば、つねに『2 要素認証』を使用する
パスワードが直面する状況は、困難です
現在、ほとんどのログインがパスワードで保護されています。攻撃者がパスワードを得ることができる場合、攻撃者はアカウントにアクセスして、そのアカウントで本人同様の操作を行うことができます。そうしたわけで、アカウントがどの程度安全かを検討する時は、パスワードがどの程度安全かを検討する必要があります。つまり、次に挙げるもの等、攻撃者がアカウントのパスワードを利用する方法として、あり得るもの全てを検討する必要があります。
- 非暗号化ウェブサイトで本人が使用するのを見る可能性
- パスワードを推測する
- パスワードが含まれるファイルを盗む
- パスワード回復機能を使用してパスワードを再設定する
- 本人を騙してパスワードを提供させる
安全にログインするためには、上記のもののうち、できるだけ多くのものを防止する必要があります。各リスクにはそれぞれ個別のリスク緩和法があります。
南京錠アイコンを確認しましょう
暗号化されていないウェブサイトにログインする際に攻撃者がパスワードを盗むのを防止することは簡単です。次の図のように、URL バーに南京錠アイコンが表示されていない場合、パスワード入力時は十分に注意しましょう。
この南京錠マークは、利用しているウェブサイトが暗号化されていることを意味し、ネットワーク上で誰かにブラウザーの使用状況を見られている場合 (公共の WiFi ホットスポットにアクセスしている他の者など) でも、他の者はパスワードを見ることができません。Firefox は、暗号化されていないウェブサイトにパスワードを入力しようとした場合に、警告します。
ブラウザーもまた、ウェブサイトがどの程度信頼できるかに関する情報を得て、フィッシングから守る上で役立ちます。フィッシングサイトとして知られているウェブサイトに訪問しようとした場合、Firefox (とその他の主要ブラウザーすべて) により全画面表示の警告が表示されますので、そうしたウェブサイトを使用する際は、十分注意しましょう。
一般に、フィッシング防止の最善策は、メールやテキストメッセージ、スマートフォンにに表示されるもの全てについて、受け取った内容を疑ってかかることです。受信したメッセージに対応せず、ウェブサイトに直接訪問しましょう。たとえば、PayPal のパスワードをリセットする必要があるという内容をメールで受け取った場合、そのメールのリンクをクリックしてはなりません。その代わりに、自分で paypal.com と入力しましょう。銀行から電話があった場合は、銀行に電話をかけ直しましょう。
多様性の長所
パスワードを推測や盗難、リセットされるのを防止するための秘訣は、無作為性を大幅に高めることです。攻撃者は、パスワードを推測する際に、通常 1) 「辞書」(多くの人々が使用する一般的なパスワードのリスト) を使用する、そして 2) 無作為に推測するという、2 種類の行動を取ります。パスワードは、文字数が多く、比較的無作為性の高いほど、そのいずれの推測法においても解読される可能性が低くなります。
ウェブサイト (LinkedIn や Yahoo など) のパスワードのデータベースを攻撃者が盗んだ場合、そのウェブサイトのユーザーには、そのウェブサイトで自分が使用しているパスワードを変更する以外になすすべはありません。それだけでも大問題ですが、そのパスワードを別のウェブサイトでも使用している場合、攻撃者はそうした別のウェブサイトにもアクセスできるため、問題ははるかに大きくなります。被害を阻止するため、必ず各ウェブサイトでそれぞれ異なるパスワードを使用しましょう。
Firefox Monitor を使用して、自分のアカウントに関連付けられているメールアドレスを監視しましょう。発覚した企業のデータ侵害に自分のメールアドレスが含まれている場合、ユーザーに警告が送信され、被害を受けたアカウントを保護する手順が通知されます。
セキュリティの質問: 自分の母親の婚前の苗字は「Ff926AKa9j6Q」
ほとんどのウェブサイトでは、忘れてしまったパスワードを回復できます。通常、こうしたシステムでは、「セキュリティの質問」に回答してからパスワードをリセットできるようになっています。これらの質問の回答は、パスワードと同様に秘密でなければなりません。そうでなければ、攻撃者は答えを推測してパスワードを設定してしまうことができます。
無作為性は問題となる可能性があります。なぜなら、よくウェブサイトで使用されるセキュリティの質問もまた、出生地や誕生日、親戚の名前など、他人が知っている可能性が高いものであったり、ソーシャルメディア等から収集可能なものだからです。しかし、好都合なことに、ウェブサイトは、その回答が事実であるかどうかは問題となりませんので、虚偽の回答を設定できます。しかし、パスワードと同様、セキュリティの質問には、文字数が多く、無作為な回答を設定して、効果的な虚偽の回答を設定しましょう。
パスワードマネージャーを役立てる
こうした処置は、いずれもかなり困難に思われるでしょう。人間の心理は、文字数の多い無作為の文字列を作るのが得意ではありません。ましてや、それを記憶するのは苦手です。そこで、パスワードマネージャーが役立ちます。この機能は Firefox ブラウザーにビルトインされていて、一意の複雑なパスワードを生成する必要があるかを尋ね、ログイン情報を安全に保存します。ユーザーは about:logins で保存したログイン情報にいつでもアクセスできます。
ご使用の Firefox アカウントで Firefox にログインした場合、パスワードをご使用のデバイスすべてで同期し、Firefox モバイルブラウザーからアクセスできます。ここでは、ビルトインのパスワードマネージャーを最大限に活用する方法を詳しくご紹介します。
2 要素 認証 (2FA)
2FA はセキュリティのレベルアップに大いに効果的です。ウェブサイトによっては、新規アカウントを設定する際に、ログインプロセスに「2番目の要素」を追加するオプションがある場合があります。多くの場合、それは電話番号をアカウントとリンクさせることになり、ユーザーはパスワードを入力した後、直接テキストメッセージで送付されたセキュリティコードを入力するよう求められます。こうすることで、ハッカーは、ユーザーのパスワードを手に入れた場合であっても、そのユーザーのスマートフォンを持っていないので、そのユーザーのアカウントにログインできません。
Firefox アカウントも 2FA で保護できますので、ここではその方法を詳細に説明します。
2FA を利用すると、パスワードのみの場合よりもセキュリティが格段に向上しますが、2FA 非対応のサイトもあります。2FA に対応しているウェブサイトの一覧は、https://2fa.directory でご覧になれます。また、2FA に対応していないサイトのリストや、対応を要請する方法も紹介しています。
強力・多種類・多要素
良かれ悪かれ、今後ともオンラインアカウントの保護にはパスワードが使用される見通しです。各ウェブサイトごとに個別の強力なパスワードを使用しましょう。またパスワードマネージャーを使用してパスワードを安全に記憶させましょう。セキュリティの質問は、文字数が多く、無作為な回答 (虚偽であったとしても同様です) を設定しましょう。また 2 要素認証対応のウェブサイトでは、2 要素認証を使用しましょう。
毎日何千件ものパスワードが盗まれ、アカウントが闇市場で取引されている現在のインターネットでは、オンライン生活の安全を維持する労力に大きな意義があります。Firefox 製品は、Mozilla のプライバシー保護の約束を守るために作成されていますので、そうした労力が軽減されます。また、Firefox は、それを支える非営利組織 Mozilla の、より良いインターネットの構築というミッションを常にガイドラインとしています。