パスワード管理

5月23日のニュースで「Yahoo！ジャパン」が17日に発表した2200万人分のID他に148万人分のパスワードが流出した可能性が高いということを知った。
Yahooでは、パスワードが流出した可能性の高い利用者に対し、パスワードの再設定を呼びかけている。 私は普段、Yahooを使うことは少ないが、
一応、自分の「Yahoo! JAPAN ID」が対象になっているのかどうか確認してみた。


対象ではないようだ。

この手の事件が増えると、パスワードの再設定を促す偽のメールやURLに注意を払う必要がある。シニア層はYahooの利用者の割合が多く、パソコン操作
などに疎い人が攻撃の対象になる可能性が高いとされている。　私もそろそろ前期高齢者になる身で、それほどパソコンに習熟している訳ではない。
しかし、セキュリティ対策については、相当資金を投じて対策していると思われるYahooがこういう事故を起こすとは、考えてみれば恐ろしいことだ。
コンピューターがらみの犯罪は、今後増え続けることはあっても減ることはないのではないだろうか。自分で素人なりの対策をしていても、大本がやられて
しまってはどうしようもない。
今回流出したパスワードは、パスワードそのものである「平文（ひらぶん）」ではなく、「ハッシュ値」と呼ばれるパスワードをある関数で計算して出した
数字であり、ハッシュ値から元のパスワードを割り出すのは困難とされている。さらに、Yahooはパスワードと秘密の質問と答をリセットしたので、犯人に
よって新たに不正ログインされる可能性はほとんどないとしている。
しかし、識者は危険なのは、他のサイト・サービスにおけるIDやパスワードであると指摘している。ユーザーが共通のパスワードを使っていると、Yahooで
流出したハッシュ値からパスワードを解読されてログインされる可能性があるということらしい。「ハッシュ関数やハッシュ化の仕方が分かると、総当たり攻撃
や辞書攻撃などによって、パスワードを解読することは可能なようだ。パスワードに使われているのが、誕生日や単語などよく使われる用語ならわずかな時間で
解読できてしまうらしい。実際にアメリカの大手SNSである「LinkedIn」2012年6月に「650万件が漏洩、掲示板サイトに流出し、１週間で約９割が解読。」
という事件が起きている。
パスワードは、ハッシュ化の方法にもよるが、解読される危険性は常にあるということだ。　このため、私はサイト毎にパスワードチェッカーを使い、強度の
パスワードを作成している。しかし、数多く作成したパスワードの管理が大変になっている。パスワードの管理ソフトなどもあるが、それも破られる心配を考え
れば、やはりアナログ管理に頼った方がいいのだろうか。