@rabirgoです。
LINEのID乗っ取りが流行ってますね。私がフットサルで使わせて貰ってるグループのメンバーでも、被害に遭ったらしき人が出てしまいました。
「Aさんが乗っ取られたらしいので注意」と Bさんからグループに投稿があって、その数分後に下記のように全員退会させられました。
以下の記事を読んでたからか、不謹慎ながらちょっと笑ってしまった。
友人のLINEアカウントが乗っ取られたので、乗っ取り犯と遊んでみました。 | 週刊社長力
それにしてもかなり高速に全員退会させられた(上記画面が更新されるのをリアルタイムで見てた)んだけど、チェックつけて一気に退会みたいなUIになってるのでしょうか…。
ちなみに乗っ取られたらしいアカウントから「手伝って」の連絡はありませんでした。
手っ取り早く個人で出来る対策は適切なパスワード管理
乗っ取られてしまった LINE のアカウントのパスワードは乗っ取った人が別のパスワードに変えてしまうだろうから、古いパスワードしか知らない本人は変更できなくなるのでしょう。そうなると LINE 運営者に連絡して対策してもらうしかないようです。
となると、乗っ取られないことが大事。つまり予防するしかない。
生年月日のように推測されやすいパスワードは避ける、出来るだけ長くする、などはよく言われていて対策も容易だったりするのですが
Web サービス毎に違うパスワードを設定する
というのはなかなか敷居が高いですね。なぜならそれぞれを覚えられないから。
前述の推測されづらい、長めのパスワードっていうのは一度決めてしまえばおしまい。
例えば、username=rabirgo, password=rabirgo1 っていうパスワードを設定してたけど推測されやすいから変えましょう、とした場合に password=r@b1rg0123 みたいに変えて(a→@、i→1、o→0、23を追加)、それを覚えておけば良い。で、使い回すと。
これを違うルールで Web サービス毎に覚えておくのは困難ですね。
Aサービスは上記のパスワードで、Bサービスは友達の名前でも使っとくか…。Cは父で、Dは母で…とか覚えきれる訳ない(笑)
あとは、固定の文字列を決めといて Web サービス毎に接頭辞をつけるってのはありかもしれません。例えば、rabirabi を固定的にしといて
- amazonrabirabi
- linerabirabi
とか。上記だと twitterrabirabi が推測されてしまうけど(笑) ただ、特定の個人を狙わない限りは一つ一つのパスワードの値を覗いて推測とかしないでしょう。
本題。パスワード管理ソフト「1Password」について
覚えられないってところを除くと、「十分な強度のパスワード」を「Web サービス毎に使い分ける」のがセキュリティを高めるのに効果的でしょう。さらに可能であれば「定期的にパスワードを変更」出来るとユーザの対策としては文句ない。
それを支援するのが「1Password」「Enpass」などのパスワード管理ソフトです。ここで紹介するのは前者の 1Password です。
Mac版
1Password
カテゴリ: 仕事効率化
価格: ¥5,000
iPhone/iMac版(ユニバーサル)
1Password
カテゴリ: 仕事効率化
価格: ¥1,800
Android 版、Windows 版もあるようですが、私は使ってないので割愛。
後者の Enpass については、私はこちらの記事で存在を認識したというだけなので参照ください。
Tedious Days More×3 : iPhone/iPad/Android/Mac/Windows 他マルチOS対応・端末間の同期も可能なパスワード管理ソフト「Enpass」
使い始めるまで時間がかかった1Password
1Passwordがいいぞーという記事はよく見かけてて、何がいいのかよく調べずに割り引きされたときに買って放置してました。セキュリティ関係で困ったこともあまりなかったので、そのうち使ってみようかなぐらいでした。
ちなみに Mac版を2,200円、iPhone版を800円で購入してました。合計 3,000円。
これはこれでそこそこ高いけど、今の定価(合計 6,800円)を見ると買ってて良かったと思えます。
購入当時、ざっと紹介記事を読み流した際の認識では、1Passwordにアクセス先、ユーザ、パスワードを何個も登録しなきゃいけないくて、それがめんどくさそうと思ってました。
ところが、そうでもなかったんです。
思ってた通りに何個も登録しなきゃいけないんですが、その登録自体が全然面倒くさくなかったことが素晴らしいと思いました。
ブラウザのエクステンションで解決
「めんどくさそう」という懸念は、使用しているブラウザにインストールするエクステンションが解決してくれました。
Mac版の場合は、Mac 本体へのインストーラがエクステンションインストールの誘導までしてくれました。(スクリーンショットは撮ってなかった)
エクステンションは Safari 版もあります。Firefox, Opera版も。
何がいいかというと、ログインしたWeb サービスが未登録であれば「登録しますか?」って聞いてきてくれることなんですよね。
使い方:1Password へのWeb サービス登録(ユーザ名とパスワードを登録)
上部にある鍵のイメージのアイコンが 1Password のエクステンションです。
試しに Twitter へのログインを登録してみましょう。Twitter にログインしてみます。
登録するか聞いてくれる。ナイス。
登録されました。
「強度」のところがオレンジで、イマイチらしいです。変更してみましょう。
使い方:パスワード変更にも対応
パスワードを変更すると、どういう仕組みか分かりませんがエクステンションが検知してくれます。
引き続き Twitter を例にパスワード変更してみます。このパスワードは使ってませんが、Safariが自動生成してくれるのは知りませんでした!
ありがたく Safari が生成したパスワードを使います。(上記のスクショとは別のパスワードです)
そうすると、パスワードの変更を検知して新規ログインか更新を選択出来ます。もちろん後者で。
Twitterの場合は以下の画面に遷移しました。この先の連携アプリや、サードパーティ製のアプリのパスワードを更新するのは変わらず面倒です…。
パスワードは、無事に安全な強度を示す緑色に変わりました!
この手順でWeb サービスを登録していくだけです。
仮にいくつかのWeb サービスで同じパスワードを使用してるのであればついでに変更してしまいましょう。何もしないよりはめんどくさいけど、何かが起きたときよりはたぶん面倒じゃない。
次に、iPhone アプリの設定は後ほどやるとしてブラウザでのアクセスについて。
使い方:ブラウザでログインするときの自動フォーム送信が便利!
ログイン時はエクステンションのアイコンをクリックします。(メニューバーにもアイコンがありますが、ここではエクステンションのみ紹介します)
ここからマウスを操作して「ログイン」を辿るのは面倒なので「検索」します。
カーソルが「検索」のところにあるので英数にして “t” を入力すると絞り込まれます。複数の Web サービスがヒットしたので、下矢印で選択してリターン。それすら面倒くさかったりします。
Twitter の場合は、左手のみで “tw” と叩くと一意に絞られるので、そのまま return キーを押下するとブラウザ上のユーザ名、パスワードの入力と「ログイン」押下に相当する動きまでやってくれます。
Twitter の場合は専用アプリを使うことが多いと思うのであまり機会はないかもしれませんが、ブラウザのみでアクセスするような Web サービスは便利です。私の場合は amazon なんかがそうですね。アプリはあまり使わずほとんどブラウザでアクセスします。
使い方:アプリのパスワード更新
ここからやや面倒。Twitter などはブラウザではなくアプリでアクセスするだろうと思うので既に認証しているパスワードを更新します。
Tweetbotを例に、簡単に紹介。DM を見ようとすると以下の画面へ遷移しました。
手入力するのは面倒くさいので 1Password からパスワードをコピーします。
私は Dropbox ではなく iCloud で同期。Dropbox って、iPhone の場合は Dropbox アプリを起動しないと更新してくれない…。
画面遷移は割愛しますが、先ほど登録した Twitter の登録情報へアクセス。
パスワードのところをタップするとコピー出来ます。
アプリに戻ってパスワードを入力。
この後認証できました!
まとめ
私の対策をまとめておきます。
パスワード運営指針
- Web サービス毎に違うパスワードを登録する(パスワードを使い回さない)
- 自動生成された十分な強度を持つパスワードを使用する
- 1Password などのパスワード管理アプリで管理する
- パスワード管理アプリのパスワード(マスターパスワード)は定期的に変更する(リマインダへ登録)
定期的なパスワード変更を行う Web サービスの指針(リマインダへ登録)
- amazon など乗っ取られてしまうと即座に金銭的被害が発生しうる Web サービス
- Google や facebook、Twitter など、OAuth に使われるような Web サービス(OAuth Service Provider)
- その他、流出してしまうとまずそうなストレージ系の Web サービス
こうして書いてみると、いろんなものを定期的に変更しなきゃいけない気がする(笑)
これを実践するための 1Password はやや高価なソフトだし、1Password 自体のマスターパスワードの管理が必要である(このパスワードを抜かれるとヤバい)こと、また、Dropbox/iCloud での同期に全く不安がない訳ではありませんが、セキュリティ的な被害のリスクを減らすためにも導入をお勧めしたいソフトです。
Mac版
1Password
カテゴリ: 仕事効率化
価格: ¥5,000
iPhone/iMac版(ユニバーサル)
1Password
カテゴリ: 仕事効率化
価格: ¥1,800
でも高いですよね。。
値段のことだけ考えると enPass ってことになるかもしれませんね。