セキュリティの重要性が強調される時代、それでも跋扈する「人気」パスワード

2014年は、デジタル・セキュリティについての話題が多く登場した年でもあった。被害者となるのも、もはやテック系の業界に身を置く人や、新手のサービスに関わる人ばかりではない。たとえばSnapchatTarget、あるいはSony Entertainmentの情報が漏洩したりもして、セキュリティ被害というのが誰の身にも起こりえることが明らかになってきた。セキュリティ被害といっても、NSAの動向がどうしたというような難しい話をしようとしているのではない。インターネット上での活動を増加させつつある私たち自身が、十分な対応をとっていないことが多いのだ。たとえばSplashDataがリリースした「最悪のパスワード」(2014年にリークされた300万のパスワードから、「人気」のパスワードをリストしたもの)を見てもそれは明らかだ。十分な強度をもつパスワードを指定することを怠っている人のなんと多いことか。

とりあえず「最悪のパスワード」リストをみてみよう。

1. 123456
2. password
3. 12345
4. 12345678
5. qwerty
6. 123456789
7. 1234
8. baseball
9. dragon
10. football
11. 1234567
12. monkey
13. letmein
14. abc123
15. 111111
16. mustang
17. access
18. shadow
19. master
20. michael
21. superman
22. 696969
23. 123123
24. batman
25. trustno1

ちなみに昨年の集計では「password」が1位だった。パスワードと言われたのでpasswordと入力するというような、最低最悪の段階からくらべれば、まあ多少は進化したと言えるのかもしれない。ちなみに「dragon」というパスワードも人気だ。「強さ」により侵略に備えるイメージなのかもしれないが、不的確なパスワードの代表と言える存在だ。

現在では、パスワードの脆弱性を回避するための簡単なツールも用意されている。もちろん「パスワード」という仕組み自体が時代遅れのものとなっているという見方もあるので、そのような中、パスワード用のツールを使うというのはナンセンスだと感じる人もいるだろう。しかし、たとえばパスワード管理ツールを利用することで、パスワードの強度は保たれ、そして更新時もきちんと対処してくれて、安全な場所にパスワードを保存してもらえたりするようにはなるわけだ。

そうはいっても、簡単なツールを利用することすらいやだという人もいることだろう。そういう人は自分の個人情報(誕生日や郵便番号など)と関係した語をパスワードとして用いがちだ。そうした行為は「いけないこと」とされているが、しかしそうした場合でもパスワードを強化する方法はある。

たとえばパスワードとして用いたい語の配列を混ぜてしまうという方法だ。たとえば「123456」や「qwerty」を使っている人なら、順番に混ぜてしまって「q1w2e3r4t5」というパスワードを利用することも考えられる。さらに「My uncle lives in Kansas」を使って「MyUncleLivesInKansas」をパスワードとしたいと考える人もいるだろう。このパスワードはあまりに弱いが、しかしここに番地を加えて「MyUncleLivesInKansas207」とすれば多少の強化にはなる。長くて、そしてアルファベットと数字を混ぜることで、パスワードを強化しつつも覚えやすいものを作ることができる。もちろん完全にランダムなパスワードに比べれば弱いものだ。ただ、こうしたちょっとした工夫をすることで、「最悪のパスワード」リストにあるようなものを使わないで済むようになる。

原文へ

(翻訳:Maeda, H


iOS 8版1Passwordはフリーミアム。一部アプリで指紋認証が利用可能に

1Passwordは、様々なアカウントのために長くて複雑なパスワードを生成し、それを自分で決めた1つのパスワードでアクセスすることによって、セキュリティーを高めるアプリだ。今日(米国時間9/17)iOS 8版が公開され、Touch ID(指紋認証)、一部アプリ(Safariを含む)でのExtensionの利用が可能になると共に、新たな低価格が設定された:無料。

iOS版1Passwordはフリーミアムになり、以前の有料版にあった機能はすべて無料で使える。もしあなたがパワーユーザーなら、新たな “Pro” 機能を利用できる。以前の有料版1Passwordのユーザーは、iOS 8にアップデートすればPro版の全機能が使える

1PasswordのブラウザーおよびSafariで、あらゆるパスワードをTouch IDに隠すことができる他、新バージョンでは、サードパーティーデベロッパーが、Appleの新しい拡張機能を使って1Passwordをアプリに統合できるようになる。今月のAgileBitsのブログ記事によると、1Passwordをアプリで利用したいデベロッパーが現在利用できる機能は以下の通り。

  • Safariで、ログイン、クレジットカード、および個人情報を自動入力する
  • 他の統合したサードパーティーアプリ(ウェブブラウザーを含む)でログインを自動入力する
  • サインアップ時に強力なパスワードを生成する
  • アプリ内でログインパスワードを変えた場合に更新する

デベロッパーはこれらの機能を各自実装する必要があるため、お気に入りのアプリが1Passwordの拡張機能を利用できるまでには、まだ時間がかかるかもしれない。下のGIFアニメは、Stewart Butterfieldの人気ビジネスメッセーシングアプリ、Slackで1Passwordを使っている様子(Touch IDは使っていない)。

[原文へ]

(翻訳:Nob Takahashi / facebook


TwitterがパスワードセキュリティのMitroを買収、製品をオープンソース化

Twitterは同社のニューヨーク支社のために、パスワードのセキュリティを提供する小さなスタートアップMitroを買収する。Mitroは、一つのアカウントで複数の人がパスワードを共有する方法を開発した。

たとえば企業などでは、チームのメンバが何かのサービスのアカウントのパスワードを共有したほうが、情報共有がうまくいく場合がある。Twitterはこのプロダクトのオーナーにはならず、チームは位置関連の開発に回されるらしい。

ただし、これまでの買収と違って、Twitterはこのプロダクトを存続させる。Mitroはオープンソースのプロジェクトになり、同社はElectronic Frontier Foundationと共同でコードを管理し、Mitro自身は自立的で非営利でコミュニティが支えるサービスになる。当面それは、少なくとも年内までは可利用である。同社はMitroのサーバとクライアントのコードのすべてを、GPLライセンスのもとにGitHub上にリリースした

これは、Twitterのこれまでの買収のやり方とは違っている。たとえば同社がPosterousを買収したときは、そのプロダクトを閉鎖し、協同ファウンダで今はY CombinatorのパートナーであるGarry Tanは、 Posthavenという代替プロダクトを作った。Posterousのそれまでのユーザたちが路頭に迷うのを、防ぐためだ。つまりプロダクトにTwitterにとっての戦略的価値がないときには、人材の取得だけを目的とする方が、割に合うのだ。

Mitroはこれまで、Google VenturesとMatrix Partnersから120万ドルの資金を調達している。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Evernoteが全ユーザにパスワード変更を要請: 大規模ハッキング行為で個人情報が漏出

evernote

人気のパーソナルノートサービスEvernoteが、その5000万近いユーザに、パスワードの変更を要請している。同社は一両日前に、最近大きく報道されている大規模なハッキング行為の、最新の犠牲者になった。これまでの数週間で、TwitterFacebookなどなども、同種の被害に遭っている。

EvernoteのファウンダでCEOのPhil Libinによると、サイトは全体的に順調に稼働しているが、現状ではユーザに対し、パスワードの変更を求めるフォームが表示される。“この異常事態のため、サーバが混雑し、アクセスが不調になることもある。しかし問題はそれだけであり、知りうるかぎり、ユーザデータへの脅威は存在しない”。

同社のブログ記事によると、“犯人たちはEvernoteのユーザ情報へのアクセスを取得した。それらの情報は、Evernoteのアカウントに結びついているユーザ名とメールアドレスと暗号化されたパスワードであり”、支払決済関連の情報はアクセスされていない。

Libinによると、“ユーザの支払決済情報はサーバ上に保存していないから、被害に遭うことはない”。この前Zendeskを襲い、そのほかのサイトにも被害が及んだ犯行との関連については、現状では何も分かっていない。“Zendeskの件については詳細を知らないので、コメントを申し上げる段階ではない”。

同社広報によると、異状に最初に気づいたのは、(米国時間3/2から)二日前の米国時間2月28日だ:

2月28日に、Evernoteの運用とセキュリティを担当する部門が、異常でしかも悪意あると思われる活動がEvernoteのサービスの上で行われていることに気づき、調査を開始した。その結果判明したのは、一人または複数の個人が、ユーザのユーザ名とメールアドレスと暗号化されたパスワードへのアクセスを取得したことだ。現在行っている分析によれば、ユーザアカウントのそのほかの内容や、Evernote PremiumおよびEvernote Businessの顧客の決済情報への、不法アクセスは生じていない、と判明した。

同社はブログ記事以外に、ユーザへのメールとソーシャルメディアへの投稿で通知を行っている。

“質問や心配事のある方はEvernoteのサポートまで直接申し出ていただきたい”、とその広報担当は言った。

パスワードの変更は、Evernote Food、Evernote Business、Evernote Helloなどなど、そのユーザが使う可能性のあるすべてのEvernoteアプリケーションで行う必要がある。

データ侵犯のニュースが、このところ毎週のようにある。ネガティブなニュースの頻発が、これらのサイトに対するユーザの信頼をどれぐらい損なっているか、そこが問題だ。ユーザは、慣れて不感症になっているのか、それとも、もっと安全そうなサイトへ引っ越そうと考えているのか。大規模ハッキング行為の日常的な横行は、ネットワーク社会をめぐるさまざまな楽観論や理想論に、水を差すことにもなりかねない。

evernote password change

この記事は、引き続きアップデートしていきたい。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))