定期的なパスワード変更はもう古い?今の常識はコレだ!

Pocket

こんにちは。30代未経験ネットワークエンジニアのshin@セキュリティ勉強中です。

今回はタイトルに書いた通り、定期的なパスワード変更について書きたいと思います。(2019/9記)

先に結論から書くと、

定期的なパスワード変更の考え方は古いので変更する必要がない!

ということです。

ただし、何らかの形でパスワードが流出した場合はもちろん変更が必要ですが、基本的には、一度設定したパスワードは変更する必要はありません。

エビデンスはあるの?誰が言ったの?といった声が聞こえて来そうなので、その質問にも回答します。

エビデンス:有ります

誰が言ったの:総務省が言ってます!

詳細は以下のサイトを見てください。

http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html

いかがだったでしょうか?定期変更は必要ないと言ってましたよね?

じゃあ、次に気になるのはどんなパスワードにすればいいの?ということでしょう。

上のURLではこのように言ってます。

「安全なパスワードを設定せよ」と、具体的には以下(引用)のようなものです。

(1) 名前などの個人情報からは推測できないこと
(2) 英単語などをそのまま使用していないこと
(3) アルファベットと数字が混在していること
(4) 適切な長さの文字列であること
(5) 類推しやすい並び方やその安易な組合せにしないこと

(1),(2),(3),(5)の言いたいことはわかりますが、(4)の適切な長さって?具体的に教えて欲しいですよね。

ちょっと、その他の資料がないかを探したところ、内閣サイバーセキュリティセンター(NISC)が発行している「第1章 基本のセキュリティ~ステップバイステップでセキュリティを固めよう~」の10P目に推奨値が書いてました。

いや、同じ国なんだからら情報書いとけよ!って思いますよね。

推奨値としては、「英大文字小文字+数字+記号混じりで 10 桁以上」だそうです。

上記を参考にすると次のようなパスワードでしょうか。

例)

30da1Mi29#

かつ、もう一つありまして、「複数のサービスで使い回さないようにしましょう。」とあります。

こんな複雑なパスワードを複数のサービス(Google、yahoo、Twitter、Facebook、楽天など)で別々で覚えろということですか?

よし!手帳に書いておこう!

↑ダメです。落としたらすべて入られます。

よし!iPhoneのメモ帳に入れておこう!

↑パスワード入力するときに後ろから覗かれていたら入られます。

じゃあどうすればいいのか?

パスワード管理ツールを使いましょう。

パスワード管理ツールとは、マスターのパスワードだけを覚えておいて、それ以外はアプリに保存させるツールのことです。

有名なアプリだと以下のようなものが有名です。
私は、1Passwordを使ってます。

1Password(ワンパスワード)

Last Pass(ラストパス)

昔はパスワードの定期変更が常識でしたが、今ではそれが非常識となってきています。

皆さんの周りにもし、「パスワードの定期変更が必要だよ!」と言っている人がいたら是非、「その考え古いですよ。今はパスワードを10桁以上にして、使い回さない事が常識ですよ」取ってあげてください(笑)

以上です。ありがとうございました。

Pocket

ノートンダークウェブモニタリングを使ってみた

Pocket

こんにちは。30代未経験ネットワークエンジニアのshin@セキュリティ勉強中です。

今回は2019年7月11日に販売されたノートンダークウェブを購入して使ってみたのでそれについて書いてみようと思います。

日経新聞などでも取り上げられてますね。

https://www.nikkei.com/article/DGXMZO47190530Q9A710C1X30000/

 

ノートンダークウェブモニタリングとは、ダークウェブに個人情報が流出した時に、通知して対処のアドバイスをしてくれる製品のことです。
※ダークウェブの詳細は後で説明します。

ちなみに、検知してくれる個人情報は以下7種類です。

1.メールアドレス(5件)
2.クレジット/デビットカード番号(10件)
3.住所(5件)
4.電話番号(1件)
5.保険証番号(5件)
6.銀行口座番号(10件)
7.運転免許証番号(1件)

この中で気になるのは、クレジット/銀行口座/運転免許証ではないでしょうか。

また、これに加えてパスポート番号も欲しいところですが対応していないようです。

ノートンダークウェブモニタリングの詳細については以下公式サイトを参照ください。

https://japan.norton.com/dwm/

そもそもダークウェブとは?

犯罪などに深く関わっている闇サイトのことを言います。ダークウェブでは薬物や銃の売買、殺人の依頼など犯罪関連の情報がやりとりされています。
サイバーセキュリティ.comより引用しました。

簡単に言うと普段私たちが検索しているサイト(google、yahoo)などの結果からは出てこないサイトのことです。
ですので、ChromeやFirefoxなどのブラウザで検索をしても表示されません。
ダークウェブを検索できるブラウザはありますが今回は特に紹介はしません。

【前提】

ノートンダークウェブモニタリングを購入していること

ノートンダークウェブモニタリング

【購入対象者】

自分の情報が流出していないか心配な人
個人情報が漏洩した場合にお知らせが欲しい人
興味本位などなど

それでは、登録手順から行きましょう

【登録手順】

1.以下のノートンのサイトにアクセスします。
https://norton.com/setup

2.「購入したプロダクトキーを入力します」を選択します。
もし、Nortonアカウントがない場合はアカウントを作成します。

3.プロダクトキーを入力します。


4.利用規約が表示されるので「同意する」を選択

5.ノートンダークウェブモニタリングが表示されますので、ここで監視したい個人情報を追加します。※ここでは電子メールを追加してみます

6.画面の「電子メール」を選択

7.「追加」を選択

8.追加したい電子メールを入力して、「保存」を選択

9.メールアドレスが追加されました。

これでもし、登録した情報漏洩した場合に通知されるようになります。

また、このソフトはスマホのApp(iOS、Android)も提供されており、そこに通知もできますので次はスマホアプリを使って登録してみます。

【スマホアプリ手順】

1.ノートンダークウェブモニタリングアプリを以下よりダウンロードしてインストールします。

iOS版

アンドロイド版

2.インストールしたアプリを選択し、サインインします。
※画面はすべてiOS版になります。

3.右下の「監視」を選択します。

4.電話番号>追加を選択します。
※今回は例で電話番号を登録してみます。

5.電話番号を入力して保存を選択します。

6.登録が完了し監視されています。

動画も取ってみたのでよかったら是非見ていってください。

 

その他、色々登録してみましたが、今のところ私の情報は漏れていないようです。

【感想】

使ってみた感想としては、簡単に登録できるのでこれで個人情報の流出が検知できるのであればいい製品だと思いました。

気になっている点については、保存した情報自体が漏洩しないかという点ですが、ノートンによると、データは暗号化しているため安全だそうです。

1年2780円(1日:7.6円)なので1日7.6円で個人情報の漏洩を教えてくれてかつ対応方法まで教えてくれるのであれば、一度試してみてはいかがでしょうか。

以上です。ありがとうございました。

 

Pocket

有害サイトフィルタリングソフト「i-フィルター」を使ってみた

Pocket

こんにちは。30代未経験ネットワークエンジニアのshin@セキュリティ勉強中です。

今回は有害なサイトの閲覧をブロックするソフト「i-フィルター」を自分のiPhoneに入れて使ってみた感想を書きたいと思います。
※i-フィルターって企業で導入しているイメージでしたが、個人用にも販売してて気になったので使ってみました。

「i-フィルター」公式HP

https://www.daj.jp/cs/

そもそもフィルタリングとは?

怪しいサイトや、ウイルスがあるサイトをブロック(フィルター)することです。
詳細な説明は、i-フィルターを販売している以下のサイトを参照いただければ思います。

https://www.daj.jp/cs/ifilter/

「i-フィルター」を購入する対象者

子供にスマートフォンを持たせたいけど、勝手に課金されたり、変なサイトにアクセスされたり、ずっとスマホばかりさせたくないと思っている親御さん

導入の流れとしては以下のような流れとなります。

導入の流れ

1.購入サイトより製品を購入

2.購入後、「i-フィルター」をiPhoneよりダウンロード

3.シリアルがメールで届くのでシリアルを入力

4.「i-フィルター」アプリより、Webサイトを閲覧

ちなみにアプリはこんな感じです。

次に「i-フィルター」で実際にどのような設定が可能か見てみました。

フィルター強度設定で色々設定できるみたいです。
ちなみに、「フィルター設定ボタン」でi-フィルターのソフトを使う人に応じてデフォルトの設定が変わるみたいです。

実際にiPhoneにアプリを入れて使ってみた感想

アプリからWebサイトを見る分には反応速度も悪くなく見れそうです。

フィルタリングブロックされたときの画面はこんな感じでした。

どうしても必要なサイトの場合、「見せてほしい」ボタンを押して管理者側の画面で許可すれば見れるみたいですね。

あと、iPhoneのアプリだと、「i-Filter」アプリを通してWebサイトを見ないとブロックしてくれないようです。
どういう意味かというと、標準のブラウザSafariのアプリを使うとブロックせずに好きなサイトにアクセスできてしまうということです。

公式のサイトにもそのようなことが書いてました。

https://www.pa-solution.net/daj/cs/faq/Detail.aspx?id=e7755335666774d7a4d456c2f576f654857642f7778365462414449647775554e584469504b4d53474148673d&kindId=-7&category=1175&categoryNot=0&word=&listNo=1&cntPerPage=20&page=1&totalCount=86&type=1&search=7&sort=0&order=2&attributeSearch=

iPhoneで使うには色々設定しないと駄目なようですね。
「Twitter」、「YouTube」のアプリを使えばそのまま使えてしまいます。
※Android版はアプリも制限できるみたいです。

正直iPhoneのアプリだと使いずらい気がします。

ただ、変なサイトをアクセスさせたくない場合には、有効なアプリだと思いますので、今後のアップデートで改善されるようであればお子さんを持つ親にとっては、いいソフトだと思いました。

気になる方は一度公式サイトを見てみてはいかがでしょうか。

以上です。ありがとうございました。

 

Pocket