Something Interesting

先日、妻のところにメールが届き、「私はあなたが如何わしいサイトにID：XXXX とパスワード：XXXX でログインしたことを知っています。そしてそのサイトの内容とそのときにWEBカメラで撮影した様子を記録しています。それをあなたのアドレス帳のすべての宛先にバラまいてほしくなければ…」と、仮想通貨を要求するような内容が書かれていました。実際にそのIDとパスワードは妻が使ったことのあるものでしたが、10年以上前に使わなくなったものなので詐欺メールであることは明らかでしたし、検索すると同様のメールがばらまかれていることがわかりました。実際に使ったことがあるパスワードなので妻もびっくりしていましたが、そのパスワードを使ったことがあるのは大手の通販会社と、食品会社（アンケートで利用）の２社だけなので、そのどちらかの企業がハックされたか、あるいはその企業の顧客担当者などが金銭目的で持ち出して闇サイトに流出させたようです。

そこで考えたのですが、利用するWEBサイトのパスワードを生成するときに、ランダムな英数字の組み合わせの中に、そのサイトの名前を入れておくのがいい案だと思います。今回のような場合もそのようにしておけば、２社のうちのどちらの企業から流出したかが判明します。

また、そうすることでパスワードの使い回しを避けることができ、セキュリティも向上します。

パスワードを生成する具体的な手順は以下のようになります。

まず、ランダムな英数字の文字列を作ります。これは必ずサイトごとに異なる文字列にします。

K76hvecHnBw　　（１）

このようなランダムなパスワードはパスワード管理ツールでも生成できますし、SafariなどのWEBブラウザでは初めてのサイトの入力欄でランダムな文字列を提案してくれますので、それを使えばいいと思います。長すぎる場合は適当に間引いて短くすればよいです。

そしてこの中に、そのパスワードを使用するサイトの企業名などを挿入します。企業名を入れる位置は、ランダムな文字列の中ほどでもいいですし、最初や最後でもいいです。

K76hvMicrosoftecHnBw　　（２）

ここでは誰でも知っているわかりやすい例として Microsoft さんの名前をお借りしました。つまり Microsoft のサイトにユーザー登録をする場合の例です。
これだけでもよいのですが、パスワードに記号も使えるようなサイトでは、

K76hv_Microsoft_ecHnBw　　（３）

のようにアンダーバーを入れると、ひと目見ただけでサイト名がよくわかります。
逆に、サイト名が挿入してあることがわからないようにするには、（２）のサイト名の文字を逆向きに並べて挿入して、

K76hvtfosorciMecHnBw　　（４）

のようにしてもよいですが、ひと目見ただけでサイト名などがわかるように入れ込んだ方が、流出させる方もそれを買う方も、犯人の心理としては「このパスワードは出どころがわかってしまうのでやめておこう」という抑止力にもなると思いますので、（３）のようなパスワードか、または _ を - に変えて、

K76hv-Microsoft-ecHnBw　　（３）’ 

のように生成することをお勧めします。

最初の（１）のランダムな文字列の部分を他のサイトでも使い回してしまうと、犯人としては、（３）の文字列を見ただけで、Microsoftの部分をそのサイト名に置き換えることをまず試してしまうので、繰り返しになりますが、（１）のランダムな文字列の部分もサイトごとに変える必要があります。

また、ランダムな文字列と企業名に加えて、日付も挿入しておけば、たとえばパスワードを10年以上変更していないことなどがわかるのでいいかもしれません。いずれにしても、サイトごとに異なるランダムな文字列を入れることは必須です。

ちなみに、PCのセキュリティに精通していない人が家庭で使用するパスワードを管理する方法は、「手書きで記録する」のが一番安全だと思います。妻はパスワード専用のノートに手書きで記録しておく習慣があったので、今回も事情を把握することができました。そのノートには、日付／サイト名とURL／ID／パスワード／登録メールアドレス／登録電話番号／登録ニックネームなど　を箇条書きで書いておけば十分だと思います。