is702
ニュース

不正ログイン対策には、「適切なパスワード作成・管理」「2段階認証」を

2018/03/09

独立行政法人情報処理推進機構(IPA)は3月8日、「不正ログイン対策特集ページ」を公開しました。「パスワードの作成・管理方法」と「2段階認証の設定」について紹介する内容です。

SNS、オンラインショッピング、クラウドストレージ等、大半のインターネットサービスでは「ID」と「パスワード」を入力し本人確認を行います。一方でIPAの相談窓口には、サービスを勝手に利用されたという「不正ログイン」に関する相談が、日頃から多数寄せられています。不正ログイン被害を避けるためには、以下の方策が重要だとIPAは指摘しています。

・IDとパスワードを推測できなくする(強度の高いパスワード設定)
・「2段階認証」をできるだけ利用する

まずパスワードについては、「できるだけ長く」「複雑で」「使い回さない」ことをIPAでは推奨しています。また複雑ながら覚えやすいパスワードの作り方として、具体的に「コアパスワード」という手法を紹介しています。これは、“短いフレーズを決めて、それに任意の変換ルールを適用して、「強度の高い(推測されにくい)パスワード」を作成する”というものです。

たとえば「terebigasuki」というベースパスワードを作り、大文字小文字数字を混ぜ合わせ「terebiGAsuki!!06」に改造。さらに利用サービスに応じて「IPAterebiGAsuki!!06」と文字を付け加え、それぞれ使い分けるという手法です。

また最近のインターネットサービスでは、不正ログイン対策として、IDとパスワード以外の要素でも認証を行う「2段階認証」(多段階認証)が普及しつつあります。基本的には、“ログインしようとすると連絡が来るので、おりかえし情報を入力する”という流れです。具体的な2段階認証としては、スマートフォンのSMSを活用するものが増えています。

たとえば、サービスにログインしようとすると、いったん保留となり、自分のスマートフォンに数字が届きます。画面に戻りあらためてこの数字を追加入力すると、ここでやっとログインが可能になります。2段階認証では、電話番号の登録等、事前の設定が必要ですが、IPAの特集ページでは、Apple IDの「2ファクタ認証」、Googleアカウントの「2段階認証プロセス」について、詳細な手順を紹介しています。今後は他サービスについても紹介するとのことです。


「2段階認証」のイメージ(IPA発表資料より)<br />

「2段階認証」のイメージ(IPA発表資料より)


「PC・ネットワーク」「Web」「システム」関連のエーカビジネスコラム&ブログ。
「PC・ネットワーク」「Web」「システム」関連のエーカビジネスコラム&ブログ。