英語の勉強のため、適当なニュースを読みました。
- cnet.com news ... Ubisoft hacked; users' e-mails and passwords exposed
Ubisoftのウェブサイトがハッキングされて顧客情報の一部が流出したようです。 流出した情報はユーザー名、メールアドレス、暗号化されたパスワードだとか。 金銭に関わる情報は被害にあってないそうです。
なんか、これだけ見たら「あ、たいした被害じゃなかったんだ」と思うようになってしまいました。 ちょっと危機感が薄れてるんでしょうか?
Ubisoftは「Unfortunately, no company or organization is completely immune to these kinds of criminal attacks.」つまり「ハッキングを完全に防ぐのは不可能」と言っています。 そりゃそうですけど、日本の会社だとここまでぶっちゃける事はなさそうですよね。 ゲームソフトの会社ということもあるかもしれないけど、印象に残る言葉でした。
普段からネットニュースを読んでいる人には常識的な話だと思うけど、「暗号化されたパスワード」について一応補足。 普通、インターネットなどで使うパスワードはそのままサーバに記憶されているわけではありません。 暗号化された状態で記憶されています。
- 適当な例) パスワード : c0hZk9u-o$j ─暗号化→ 70sf8b!n4w8yu#ndjsJ8dfZas-yFt67vf
ログオンするときにサーバーがパスワードを受け取ると、そのたびに同じアルゴリズムで暗号化をします。 そして暗号化後の記号列が記憶されているモノと同じだったときに正しいパスワードだと認識するのです。 (注:普通「暗号化」と聞くと元の文にもどす「復号」も連想しますが、ここでいう暗号化はパスワードから記号列への一方的な変換です。 パスワードのチェックの場合は暗号済みの記号列を元に戻す必要はありません。)
例え暗号化されたパスワードが盗まれたとしても、ハッカーが暗号化済みのパスワードから元のパスワードを知ることは難しいです。 そのため、ちゃんとしたパスワードなら暗号可済みのパスワードが流出してもすぐには被害はでません。 しかし、暗号可済みのパスワードは解読される可能性があるので速やかに変更する必要があります。
ここでパスワードについてずっと問題になっている事柄もチェック。 「ちゃんとしたパスワードなら」大丈夫な事が多いのです。 ちゃんとしてないパスワードが結構な割合であるそうです。 例えば、誕生日とか電話番号とかをパスワードにしているケース、氏名やありがちな単語をパスワードにしているケースです。
ちゃんとしたパスワードなら「大丈夫な事が多い」という表現になっているのは、どんなパスワードでも試しに入力してみることはできるからです。 それで実際に通ってしまう可能性はどんなパスワードでもなくなりません。 しかし、ちゃんとしたパスワードというのは犯罪者が「試しに入れてみよう」と思わない文字列になっているはずです。 破られる可能性は低くなります。 ちゃんとしてないパスワード、誕生日や電話番号は真っ先に試されるパスワードです。 そういうパスワードを使っている人達は被害に会う確率は高いでしょう。
そしてパスワードがバレてしまったらもう1つの問題が出てきます。 同じパスワードの使い回しです。 1つのパスワードを色んなサービスで使いまわしていると、1つのサービスでパスワードがバレると他のサービスまで違法アクセスされてしまいます。 そしてそういうケースは誕生日や電話番号をパスワードにしている人に多いので、ルーズな人ほど被害が大きくなってしまいます。
ちなみに、犯罪者がパスワードを探すとき、プログラムで自動的に探していきます。 そのため「自分に関係ない単語だからいいだろう」みたいなのは無意味なので注意しましょう。
それを踏まえて、いいパスワードは次のようになります。
- ランダムな文字の組み合わせ出てきている。
- アルファベット、数字、記号を組み合わせる。
- 固有名詞や辞典に載っている単語は使わない。1とl(エル)、0(ゼロ)とO(オー)のような置き換えは使い古されているので無意味。
- 十分な長さがある。
- サービスごとに別のパスワードを使う。
でお買い物
