Apple IDがロックされた経験から、パスワードの重要性と2要素認証の有効性について書いた。パスワード管理アプリの使用も推奨する。パスワードを推測されないものにすることが重要で、2要素認証を有効にすることでアカウント乗っ取りのリスクが99%以上低下する。
突然、Apple IDがロックされた。
あるサイトで利用者登録するのに「Apple IDでサインイン」を使おうとしたところ、警告ウィンドウが出た。Apple IDがロックされているのでパスワードを変更しろという。
一瞬、何が起こったのか分からなかった。Apple IDに関して最近特に何もしていない。このようなことが起こる心当たりが全くない。
考えられる可能性は、何者かが私のApple IDでログインを試みたということだ。何回か試みたが成功しなかったのだろう。それが人間の手作業によるものなのか機械的になされたものなのかは分からない。2要素認証を有効にしていたおかげで厄介なことにならなかったのかもしれない。
ともかくパスワードを変更することにした。桁数を増やし、24桁だったのを32桁にした。記号も入れた。当然、自分で考えて作ることはしない。パスワード管理アプリに生成してもらった。
アカウントを乗っ取られないための教訓
教訓として言えることは次の三点だ。
- 推測されないパスワードを使う。
- パスワード管理アプリを使う。
- 2要素認証を有効にする。
1. 推測されないパスワードを使う。
簡単なパスワードは乗っ取りに会いやすい。セキュリティ企業Verizonの調査によると、乗っ取り事件のうち81%が簡単なパスワードを使用したアカウントから発生している。また、95%が数分以内に乗っ取りを実行されている。独立行政法人情報処理推進機構(IPA)ではパスワードを「できるだけ長く」、「複雑で」、「使い回さない」ものとすることを推奨している。
今回、パスワードを変更するに当たり桁数を増やし、24桁だったのを32桁にした。記号も入れた。
2. パスワード管理アプリを使う。
パスワードを「できるだけ長く」、「複雑で」、「使い回さない」ものにするというのは、「言うは易く行うは難し」だ。人力でこれをするのは不可能に近い。私はパスワード管理アプリを使っている。
パスワード管理アプリを使えば、32桁のパスワードを覚える必要がない。複数サイトで使い回すこともない。パスワードの脆弱性は劇的に改善する。
3. 2要素認証を有効にする。
私はApple IDの2要素認証を有効にしていた。
Googleの研究によると、2要素認証を使用するとアカウント乗っ取りのリスクが99%以上低下する。このため、仮にパスワードが漏れたとしてもアカウントが乗っ取られる可能性がほとんど無くなる。
2要素認証は最後のとりでと言える。対応しているサイトでは必ず設定しておくべきだ。
