iPhoneのアップデート完了後、設定画面を色々見ていると、パスワードの項目で見たことのない警告が出ていました。
このパスワードはデータ漏洩で検出された事があるため、このアカウントは危険にさらされています。このパスワードは、”example.com” ”sample.com”、およびその他2件のWebサイトでも再利用されています。その内のどれかが危険にさらされた場合、このアカウントに対する危険性も上昇します。パスワードをすぐに変更した方がよいでしょう。
私はその警告のおかげでFacebookの不正ログインに気づくことができ、パスワードを変更することができました。
複数のサービスで同じIDとパスワードを使用し、一つのサービスで流出してしまうと極めて危険な状態になります。
iOS14ではIDとパスワードに関する新たな機能が加わりました。
iPhoneがセキュリティチェック
iPhoneの中のパスワードは設定Appから確認できます。
iPhone内に入っているパスワードの確認方法
- 設定
- パスワード
- iPhoneのパスワード入力
iPhoneで各サイトのIDとパスワードを入力すると保存し、次回以降自動で入力してくれる機能があります。
その為、iPhoneの中には各サイトのIDとパスワードが管理されています。
iPhoneが流出の警告をしてくれる
iPhoneにIDとパスワードを保管しておくと、危険な状態に陥ったIDとパスワードを教えてくれます。
実際に私も警告を受けました。
このパスワードはデータ漏洩で検出された事があるため、このアカウントは危険にさらされています。このパスワードは、”example.com” ”sample.com”、およびその他2件のWebサイトでも再利用されています。その内のどれかが危険にさらされた場合、このアカウントに対する危険性も上昇します。パスワードをすぐに変更した方がよいでしょう。
なに…
すぐさま全てのアカウントのパスワードを全て違うパターンで変更しました。
Facebookで不正ログインがあった…
なんと私のFacebookアカウントで不正ログインがありました。
現在ログインしている携帯は新宿区なのに、1時間前に宝塚市でログイン履歴が…兵庫県
これは不正ログインの可能性があります。
iPhoneの警告を見てなかったら気づいていませんでした…
IDやパスワードはダークウェブで…
流出したIDとパスワードは基本的にダークウェブ上で高額商品として販売されています。
不正ログインなどがなくても流出している可能性は十分にある為、定期的にパスワードを更新しましょう。
それと、できるだけアカウントを減らすのが1番です。
ダークウェブとは?
ダークウェブは対応したソフトを使用してアクセスできるWebサイトです。
標準アプリやソフト、AppStoreやGooglePlayなどにあるアプリからはアクセスはできないので安心してください。
ダークウェブには法律で禁じられているものが販売されています。
IDとパスワードを守るには?
これからさらに多くのIDとパスワードを管理しなくてはいけなくなり、IDとパスワードが多い分流出してしまう可能性も高くなってしまいます。
redditによると、数字だけの場合は数秒でパスワードがハッキングされることも。
小文字と大文字、記号を合わせると同じ文字数でも明らかにハッキングされる時間が長いことが分かります。
| 文字数 | 数 | 小 | 小+大 | 小+大+数 | 小+大+数+記 |
|---|---|---|---|---|---|
| 6文字 | 一瞬 | 一瞬 | 一瞬 | 1秒 | 5秒 |
| 7文字 | 一瞬 | 一瞬 | 25秒 | 1分 | 6分 |
| 8文字 | 一瞬 | 5秒 | 22分 | 1時間 | 8時間 |
| 9文字 | 一瞬 | 2分 | 19時間 | 3日 | 3週間 |
| 10文字 | 一瞬 | 1分 | 1ヶ月 | 7ヶ月 | 5年 |
| 11文字 | 2秒 | 1日 | 5年 | 41年 | 400年 |
| 12文字 | 25秒 | 3週間 | 300年 | 2,000年 | 3.4万年 |
| 13文字 | 4分 | 1年 | 1.6万年 | 10万年 | 200万年 |
| 14文字 | 41分 | 51年 | 80万年 | 900万年 | 2億年 |
| 15文字 | 6時間 | 1,000年 | 4300万年 | 6億年 | 150億年 |
| 16文字 | 2日 | 3.4万年 | 20億年 |
370億年 | 1兆年 |
| 17文字 | 4週間 | 80万年 | 1000億年 | 2兆年 | 93兆年 |
| 18文字 | 9か月 | 2300万年 | 6兆年 | 100兆年 | 7000兆年 |
多くの方は小+大+数だと思いますが、記号を少し入れるだけでハッキングされるリスクが大幅に下がります。
その他の具体的なハッキング対策を紹介します。
SafariやChromeでパスワードを自動生成
SafariやChromeでアカウントを作成する際にはパスワードを自動で生成してくれる機能があるので、自動生成を使いましょう。
Chromeでパスワードを自動生成
- Chrome で同期をオンに。
- ウェブサイトにアクセスしてアカウントを作成。
- パスワード入力欄をタップ。
- [安全なパスワードを自動生成] をタップ。
- このオプションが表示されない場合は、パスワード→パスワードを保存→次に [安全なパスワードを自動生成] をタップ。
- パスワードがプレビュー表示されたら、[パスワードを使用] をタップして確定。
- アカウントの作成を完了します。パスワードは自動的に Chrome に保存されます。
- 生成したパスワードは Google アカウントに自動的に保存されます。
SafariもChromeのようにパスワード候補が出てきますが、出てこなかった時の方法を紹介します。
パスワード入力画面でパスワードのランをタップし、キーボードに出ている「パスワード」をタップ
すると新規パスワードを追加と出てくるので、タップ
ユーザー名にIDもしくはメールアドレスをタップし、パスワードのランをタップすると画面下にパスワードの候補が出てくるのでタップ
これでSafariのパスワードの自動入力は完了です。
SSL化されていないサイトではパスワードを送信しない
SSL化されていないサイトで個人情報を入力すると、入力した内容が筒抜けになってしまい、個人情報が流出してしまいます。
SSLはインターネット上でのデータ通信を暗号化し、盗聴や改ざんを防ぐぎます。
SSL化されていないサイトでは「保護されていない通信」と表示されます。
SSL化されているサイトでは南京錠のマークが表示されます。
SSL化されているかはURLを見て見分けることができます。
・http://gotoyusuke.com/
SSL化されてるURL
・https://gotoyusuke.com/
http://のpと:の間にsが含まれている場合はSSL化されています。
パスワードは使い回ししない
GoogleやApple、TwitterやInstagramなど様々なアカウントを作成している方もほとんどではないでしょうか。
何個もアカウントを作るとパスワードの管理が大変になるからと、同じパスワードを使ってしまいますよね…
パスワードを使い回しして、あるサービスでハッキングに会いパスワードが流出してしまうと、使い回ししたサービス全てが危険な状態です。
なので、パスワードの自動生成を活用してパスワードがどのサービスも被らないようにしましょう。
コメント