パスワードを様々なサービスで同じ物を使っているいわゆる「パスワードの使い回し」をしている方が多いようです。
パスワードは各サービスで異なる物を利用する必要があります。その理由を解説します。
簡単なパスワードを使ってはいけないのを理解している方は多いですが、パスワードを様々なサイトで使い回している方が多いです。
パスワードは各サービス、各アカウントで異なる物を利用する必要があります。
その理由は簡単で、他のサービスでパスワードが流出した場合、その漏れたパスワードで他の使い回しているアカウントにログインされてしまうからです。
Googleアカウント john.smith@gmail.com
パスワード password123
で、Googleアカウントを登録し、面倒なので、他の各社のサービスにも同じメールアドレス、パスワードで登録しているとします。
ほとんどのサービスではアカウント情報が流出する事はありませんが、中にはセキュリティ対策が低くアカウント情報が漏れるサービスは必ず存在します。
一般的に有名な企業のサービスでも過去に多数のアカウント情報が漏れています。
アカウント情報が漏れた場合、一般的にパスワードを使い回している人が多いので、攻撃者は入手した情報で様々なサービスにこのメールアドレス、パスワードでログインしようとして、各サービスのアカウントを盗みます。
これを防ぐ簡単な方法は、各サービス、各アカウントで異なるパスワードを設定します。
パスワードは一般的にハッシュ化という手法で、元のパスワード自体を管理せずに保存しています。
詳細は各サービス毎に異なるようですが、複雑な方法でパスワードそのものが管理されており、仮にパスワードのデータが流出したとしても、パスワード自体の解析は困難なようになっています。しかし、全てのサービスがそうなっているとは限りません。
例えば2020年に発生したニンテンドーネットワークID(NNID)への不正ログインでは、使い回しをしていた他のサービスからパスワードが流出し、不正にログインされていたようです。どこから流出したのかは不明です。
例えば2012年に流出したLinkedInのパスワードの場合、超大手サービスでありながらSaltなしのSHA-1でハッシュ化されたデータが流出したそうです。
パスワード自体は流出していませんが、SaltなしのSHA-1のハッシュ化されたデータというのは、比較的簡単にパスワードが解析できるという意味です。詳細:パスワードの管理方法
このLinkedInの場合は、パスワードは一応ハッシュ化されていましたが、サービスによってはパスワードがそのまま平文で保存されているかも知れません。
大手サービスの場合、パスワードが流出すると大々的なニュースになりますが、小さな知られてないような会社のサービスの場合、流出はニュースにならないかも知れません。もしかしたら、流出したことにサービス自体が気づいていない場合があります。
パスワードを使い回していた場合、そのパスワードがどこかのサービスから流出すると、全てのサービスに不正アクセスされる可能性があります。
流出した事を確認してから全ての同じパスワードを設定していたサービスのパスワードを変更すれば不正アクセスなどは防げるかも知れません。しかし、流出した事実が公表されないことも多く、同じパスワードを設定していたアカウントが多ければ多いほど被害も大きくなります。