「最悪のパスワード」ランキング、6年連続で「123456」が1位……変わらないと思うよ。
CNETの記事である。ちなみに、このうちいくつかは昔某組織内のシステムで使っていた記憶がある。
私が、管理に入った後、数年で変更し仕様書にまで纏め直したのだが、こういうのは相当やる気がないと、変わらないし変えない。
変えるだけに掛かる労力がどれほどかは、やってみたことがないと分からないだろうが、個人にもなればもう本人が攻撃を受けて取り返しの付かない状況になったことに、気が付かない限りは変化もない。だから、変わらないのだ。
https://japan.cnet.com/article/35130246/
<セキュリティは自分で意識するか、勝手にされているものか?で変わる>
PayPayの問題は今日になってさらに大きな話題になっているようだが、セキュリティというのは事が一大事になって初めて当事者が自分の失態に気付くことが多いというのは、良くあることである。
例えば、Windows10にはセキュリティ機能があり、下手にセキュリティソフトを追加すると、セキュリティの期限が過ぎた時に無防備になるから、Defenderの方が安全だとかいう人もいるが、それはそもそもセキュリティをセキュリティとも思っていない人の発想である。
私は毎日、セキュリティソフトを立ち上げて、保護状態を目視確認する訳だが、Windows10でセキュリティソフトが期限に近づくと、通知を切っていない限り通知領域には警告が表示され、期限を過ぎると、セキュリティセンター(これは通知を停止していても、セキュリティセンターが有効なら表示される)から更新の指示が出るのが普通だ。
これを意識的に認識でないと、ウィルス感染や駆除の警告が出ていても、たぶん見逃しているだろうから、defenderならとか、そういうレベルではなくなる。
即ち、セキュリティは意識して初めて成立するものであり、きっと自分は大丈夫だろうと思っている人が、どんなに良いソフトを入れようが、どんなに標準のセキュリティで十分と言われようが、どっちもセキュリティとしてはないのと変わらない。まだ、前者の方が有効期限内ならたぶん少しだけレベルが高いかも知れない。
ただ、どっちもどっちである。
そして、大半の人はセキュリティなど意識していない。もっと言えば、毎日使っていれば意識など薄れていくものだ。
<マンネリな日常が作る隙>
これは、生活における安全対策とよく似ている。
例えば、毎日歩く道、毎日運転する道路であなたは、周囲を警戒して歩くか考えて見ると良い。
きっと、そこを初めて歩いた時には、警戒したり新しいものにキョロキョロと好奇心をそそられたりしたかも知れない。しかし、毎日歩いていれば、横断歩道や信号まで行って渡らずに右見て左見て車が来ないなら、ちょっと、ショートカットで道路を横切ったりとか、しちゃった経験はあるんじゃないだろうか?
これは、人が経験を重視する生き物で成長するからこそある合理性の賜物である。即ち、日常で1年安全だった場所は、これから1年も安全なはずとすり込まれる。5年安全なら今後5年の間に問題が起きる可能性は、今までの5年と同等になる。10年だとその半分の確率だ。30年になるとどうか、今後30年は安全だと思うだろう。
だから、想定にはないトラブルがそこにやってきた時、多くの人は逃げることが出来なくなる。
では、最初の緊張感をずっと維持する方法はないのかというと、実はない。道を変えたりすることで、多少は新しさも続く場合があるが、残念ながら完全では無いのだ。これは、ずっと緊張感を保つのは体や心にとって負担だからである。この緊張感がずっと残るようだと、むしろ神経が過敏であり、精神疾患などと診断されるだろう。
そこまで緊張感を持ち続けなくても良いように、社会は法律によってこれらを脅かす危険を取り締まったり、抑制する仕組みを作ったわけだが、それでも事件は毎日一定数は起きている。自分がその当事者になるかは、ある程度は運であるが、もし巻き込まれたとして、咄嗟の判断や行動が出来き助かるかどうかは、そういうことがあり得るかどうかを考え、対応法を決めていたかどうかに左右される。
これと同じ事がインターネット上にも潜んでいる訳だ。
ただ、命や怪我という物理的ダメージに直接関わることは少なく、むしろ個人情報漏洩や、差別、資産漏洩などに影響する。即ち、精神と信用、資産に影響するわけだ。
<セキュリティ攻撃とは何か?>
という点で良く言われるのが、直接的に危害を与える攻撃だが、近年使われている攻撃の大半は、情報を盗む側と情報を使って直接危害を与える側が別であるパターンの方が多い。
端的に言えば分業され始めている訳だ。情報を集める人、情報を編集して繋げより正確なデータにする人、その情報を使って金融資産や信用情報を盗み、直接顧客や企業に損害を与える人に分かれているのだ。
こうすると、個人情報を取った人が、編集業者に売り込むことで、利益を得る。編集業者はいくつかの情報を1つに重ねると、123456のパスワード利用者が、例えば重要なサイトでは、AxBrxx!"45という難読なパスワードを使っている事が見えるようになるかも知れない。そして、そういう人は得てして重要なサイトで同じ難しいパスワードを使い回す傾向があると分かれば
それを直接攻撃者に売ることも出来るかも知れない。
さらに攻撃者にとって都合が良い効果がここにはある。それは、漏れた情報が長く地下に隠れることで、どこから漏れた情報が原因かが見えなくなり、調査が既に終わり油断した隙を狙われる可能性が上がるのだ。攻撃が成功しやすくなる。
PayPayでのカードの不正利用が問題になったのは、PayPayがセキュリティキーの再認証を論外な程甘くしていたためだが、そういう質の悪いサービスが見つかったら、一気に攻撃者がここぞという場所で使うことになるのは、そういう手法が既に当たり前になっており、攻撃で集めたデータが既に市場に蓄えられている訳だ。ある地点で、次に入手したデータと重なり、意味を持つようになったり、金融関連システムの不具合が発覚して使われるようになる。
しかし、それを持ってしても我々は、自分のセキュリティが問題だとは思わなくなってしまう。
何故なら、最初に漏れた場所が既に分からないからである。
その結果、パスワードのようなものは、あまり使わないと自分で思っているサービスや、ここで登録している情報はさほど意味がないと思っているサービスほど変更しなくなる。それが、命取りになるとは知らずに……
<何もしなくても今まで通りの安全性……>
まあ、本当に大事なのは今まで通りという部分に対する認識の仕方である。年を取るほどそうなるのだが、多くの人は変えなくても今まで通りの……の後ろに安全性と言う言葉が入るのだ。
しかし、それは逆に言えば今まで通りの危険性かもしれないし、今まで以上の危険性かも知れない。ちなみに、ネットワークや通信関連のソフトウェア、ハードウェアでは未だに攻撃も守りも進化が続いているため、変えなければ今まで以上の危険性の方が実は強くなる。
そのためには難読なパスワードを作り、それぞれのサイトに適用することだ重要だ。また、使わないサイトはユーザー登録を解除するのも重要かも知れない。沢山の情報サイトに契約するとそれぞれの管理が粗雑になりやすく、漏れるリスクも増すからだ。
とは言っても、行動を起こすのはやはり面倒くさい。やはり変わらないのだ。
まもなく今年も終わりだが、年末の大掃除がてらにWebサービスやネットワークのパスワード、1年間使わなかったアカウントなどは整理すると良いかも知れない。こういうのは、やるぞと決めてやらなければ出来ないものだ。
ただ、多くの人は
私が、管理に入った後、数年で変更し仕様書にまで纏め直したのだが、こういうのは相当やる気がないと、変わらないし変えない。
変えるだけに掛かる労力がどれほどかは、やってみたことがないと分からないだろうが、個人にもなればもう本人が攻撃を受けて取り返しの付かない状況になったことに、気が付かない限りは変化もない。だから、変わらないのだ。
https://japan.cnet.com/article/35130246/
<セキュリティは自分で意識するか、勝手にされているものか?で変わる>
PayPayの問題は今日になってさらに大きな話題になっているようだが、セキュリティというのは事が一大事になって初めて当事者が自分の失態に気付くことが多いというのは、良くあることである。
例えば、Windows10にはセキュリティ機能があり、下手にセキュリティソフトを追加すると、セキュリティの期限が過ぎた時に無防備になるから、Defenderの方が安全だとかいう人もいるが、それはそもそもセキュリティをセキュリティとも思っていない人の発想である。
私は毎日、セキュリティソフトを立ち上げて、保護状態を目視確認する訳だが、Windows10でセキュリティソフトが期限に近づくと、通知を切っていない限り通知領域には警告が表示され、期限を過ぎると、セキュリティセンター(これは通知を停止していても、セキュリティセンターが有効なら表示される)から更新の指示が出るのが普通だ。
これを意識的に認識でないと、ウィルス感染や駆除の警告が出ていても、たぶん見逃しているだろうから、defenderならとか、そういうレベルではなくなる。
即ち、セキュリティは意識して初めて成立するものであり、きっと自分は大丈夫だろうと思っている人が、どんなに良いソフトを入れようが、どんなに標準のセキュリティで十分と言われようが、どっちもセキュリティとしてはないのと変わらない。まだ、前者の方が有効期限内ならたぶん少しだけレベルが高いかも知れない。
ただ、どっちもどっちである。
そして、大半の人はセキュリティなど意識していない。もっと言えば、毎日使っていれば意識など薄れていくものだ。
<マンネリな日常が作る隙>
これは、生活における安全対策とよく似ている。
例えば、毎日歩く道、毎日運転する道路であなたは、周囲を警戒して歩くか考えて見ると良い。
きっと、そこを初めて歩いた時には、警戒したり新しいものにキョロキョロと好奇心をそそられたりしたかも知れない。しかし、毎日歩いていれば、横断歩道や信号まで行って渡らずに右見て左見て車が来ないなら、ちょっと、ショートカットで道路を横切ったりとか、しちゃった経験はあるんじゃないだろうか?
これは、人が経験を重視する生き物で成長するからこそある合理性の賜物である。即ち、日常で1年安全だった場所は、これから1年も安全なはずとすり込まれる。5年安全なら今後5年の間に問題が起きる可能性は、今までの5年と同等になる。10年だとその半分の確率だ。30年になるとどうか、今後30年は安全だと思うだろう。
だから、想定にはないトラブルがそこにやってきた時、多くの人は逃げることが出来なくなる。
では、最初の緊張感をずっと維持する方法はないのかというと、実はない。道を変えたりすることで、多少は新しさも続く場合があるが、残念ながら完全では無いのだ。これは、ずっと緊張感を保つのは体や心にとって負担だからである。この緊張感がずっと残るようだと、むしろ神経が過敏であり、精神疾患などと診断されるだろう。
そこまで緊張感を持ち続けなくても良いように、社会は法律によってこれらを脅かす危険を取り締まったり、抑制する仕組みを作ったわけだが、それでも事件は毎日一定数は起きている。自分がその当事者になるかは、ある程度は運であるが、もし巻き込まれたとして、咄嗟の判断や行動が出来き助かるかどうかは、そういうことがあり得るかどうかを考え、対応法を決めていたかどうかに左右される。
これと同じ事がインターネット上にも潜んでいる訳だ。
ただ、命や怪我という物理的ダメージに直接関わることは少なく、むしろ個人情報漏洩や、差別、資産漏洩などに影響する。即ち、精神と信用、資産に影響するわけだ。
<セキュリティ攻撃とは何か?>
という点で良く言われるのが、直接的に危害を与える攻撃だが、近年使われている攻撃の大半は、情報を盗む側と情報を使って直接危害を与える側が別であるパターンの方が多い。
端的に言えば分業され始めている訳だ。情報を集める人、情報を編集して繋げより正確なデータにする人、その情報を使って金融資産や信用情報を盗み、直接顧客や企業に損害を与える人に分かれているのだ。
こうすると、個人情報を取った人が、編集業者に売り込むことで、利益を得る。編集業者はいくつかの情報を1つに重ねると、123456のパスワード利用者が、例えば重要なサイトでは、AxBrxx!"45という難読なパスワードを使っている事が見えるようになるかも知れない。そして、そういう人は得てして重要なサイトで同じ難しいパスワードを使い回す傾向があると分かれば
それを直接攻撃者に売ることも出来るかも知れない。
さらに攻撃者にとって都合が良い効果がここにはある。それは、漏れた情報が長く地下に隠れることで、どこから漏れた情報が原因かが見えなくなり、調査が既に終わり油断した隙を狙われる可能性が上がるのだ。攻撃が成功しやすくなる。
PayPayでのカードの不正利用が問題になったのは、PayPayがセキュリティキーの再認証を論外な程甘くしていたためだが、そういう質の悪いサービスが見つかったら、一気に攻撃者がここぞという場所で使うことになるのは、そういう手法が既に当たり前になっており、攻撃で集めたデータが既に市場に蓄えられている訳だ。ある地点で、次に入手したデータと重なり、意味を持つようになったり、金融関連システムの不具合が発覚して使われるようになる。
しかし、それを持ってしても我々は、自分のセキュリティが問題だとは思わなくなってしまう。
何故なら、最初に漏れた場所が既に分からないからである。
その結果、パスワードのようなものは、あまり使わないと自分で思っているサービスや、ここで登録している情報はさほど意味がないと思っているサービスほど変更しなくなる。それが、命取りになるとは知らずに……
<何もしなくても今まで通りの安全性……>
まあ、本当に大事なのは今まで通りという部分に対する認識の仕方である。年を取るほどそうなるのだが、多くの人は変えなくても今まで通りの……の後ろに安全性と言う言葉が入るのだ。
しかし、それは逆に言えば今まで通りの危険性かもしれないし、今まで以上の危険性かも知れない。ちなみに、ネットワークや通信関連のソフトウェア、ハードウェアでは未だに攻撃も守りも進化が続いているため、変えなければ今まで以上の危険性の方が実は強くなる。
そのためには難読なパスワードを作り、それぞれのサイトに適用することだ重要だ。また、使わないサイトはユーザー登録を解除するのも重要かも知れない。沢山の情報サイトに契約するとそれぞれの管理が粗雑になりやすく、漏れるリスクも増すからだ。
とは言っても、行動を起こすのはやはり面倒くさい。やはり変わらないのだ。
まもなく今年も終わりだが、年末の大掃除がてらにWebサービスやネットワークのパスワード、1年間使わなかったアカウントなどは整理すると良いかも知れない。こういうのは、やるぞと決めてやらなければ出来ないものだ。
ただ、多くの人は
【送料無料】McAfee マカフィー リブセーフ 3年版 [ウイルス対策ソフト]
A-PRICE楽天市場店
【送料無料】商品説明★ ランサムウェアを含む最新のマルウェアでも挙動を分析し、ブロックします。またウ
楽天市場
A-PRICE楽天市場店
【送料無料】商品説明★ ランサムウェアを含む最新のマルウェアでも挙動を分析し、ブロックします。またウ
楽天市場
この記事へのコメント