不正ログインが急増しているそうだ。
それについての記事(急増する不正ログイン、対策のカギは「正しく怖がる」こと) が分かりやすかった。
不正ログイン被害の多くが「パスワードリスト型攻撃」によるものだ。攻撃者が入手した大量のID・パスワードなどの認証情報が、標的とするサイトで使えるかどうか、繰り返し処理を得意とする「bot」を使って試していく。
まず疑問に浮かぶのは、不正ログインの試行に用いるID・パスワードなどの認証情報はどこから得られるのか、ということだ。
昨年5月3日、Twitterでパスワードの漏洩疑似があった。
Facebookも9月28日、ユーザーアカウントのデジタル上の鍵(アクセストークン)が流出したと発表した。
今年1月には別の大規模な情報漏えいが報じられた。「Collection #1」と呼ばれる、7億件超のメールアドレス、パスワードを含む87GBに及ぶ個人情報のデータダンプがネット上で見つかった。
なるほど、こうやってIDとパスワードのセットが漏洩して、悪用されるのか。
だから、使い分けろということ。
自分も複数のパスワードを使っている。
覚えるのが大変だが、自分の感覚で語呂で覚えやすい数字文字列を使用している。
一番大事な銀行とクレカとそれ以外のサイトでは、使い分けている。
重要度によって、複数の段階に分けて、使い分けている感じかな。
自分はECサイトをあまり信用していない。
情報が漏洩する可能性はあると思っている。
ECサイトの社員やバイトから漏洩する可能性がある。 それを完全に防ぐ対策をやっているとは思えない。
だから、ECサイトではなるべくIDを作らないようにしているが、作る場合もある。
ECサイトだと、商品の配達があるので、名前・住所・電話番号そしてメールアドレスの個人情報を必ず入力する。
そして、そこにIDとパスワードが結び付くわけだ。
そして、一度その情報が闇に流れると、永久に流れるわけだ。
頻発する不正ログインを防ぐためには、いくつかの対策がある。
(1)利用者に“パスワードの使い回し”をやめるよう呼び掛け
まあ、少なくとも複数のパスワードを使い分けるべきだろうな。
(2)二要素認証、多要素認証
パスワードとそれ以外の認証を組み合わせる多要素認証は、最も強力な不正ログイン対策の一つだ。外部デバイスやスマホアプリ、乱数表の書かれたカードを用いる方式の他、生体認証や、最近急速に日本で普及してきたSMSを使った認証などの方式がある。
自分は、生体認証が一番だと思っている。
ケータイ電話でも指の指紋認証が出来るんだから(自分のケータイは出来る)、安く出来るだろう。
PCでカードリーダーを接続するみたいに、指紋読み取りリーダーを接続して、使えればよい。
店側がそれに対応するのが一般的になってくれればね。
ただ、指紋は犯罪捜査に使われるので、情報が流れて欲しくはない。 代わりに、 富士通フロンテックの手のひら静脈認証が普及して欲しいね。
・bot検知ソリューション
不正ログインを試行するbotを識別して被害を防止する仕組みだ。ゆがんだ難読文字を入力させてbotと人間を見分けるCAPTCHAや、その派生技術でパズルや画像を選ばせる方式が主流。
これは、ちらほら見るね。
少し鬱陶しい。
実際、ユーザーに面倒な操作を強いる点で多要素認証と同じ「ユーザーの離脱リスク」を抱え、その離脱率は10%を超えるそうだ。
この記事は参考になった。
どうやって自己防衛していけばよいのか。
どの程度自己防衛しなくてはならないのか、参考になった。