これはブログなのでしょうか

誰かに向けてというよりは、自分の備忘録的な意味合いで書いています。元々観劇記録メインだったものの、観劇回数が極端に減っているので、その他雑文の方が今は多いのです。デジタルもの成分やや多め。

メールアドレスをサービスのIDにするのやめませんか

リスト型アカウントハッキング多いですね

パスワードリスト攻撃、アカウントリスト攻撃とも

呼ばれるようですが

不正に入手されたIDとパスワードの組み合わせで

他のサービスにログインを試みる手法です

 

そしてほとんどのケースで

ID=メールアドレスであるサービスが標的になっています

 

対策としては

サイト毎に異なるパスワードを設定することですが

実行するのは難しいようで

自分も正直そこまで徹底できていません

 

でもそろそろ

パスワード管理ソフトを使ってでも

強固なパスワードをサイト毎に設定することを

考えないといけないな

と思い始めています

 

なんて言うのは簡単ですが

今や様々なサービスがWEBにあって

自分が利用しているものを数えてみても

その数はゆうに100を超えるので

実行に移すのは大変です

 

ちなみに

「定期的なパスワード変更」を

求められることもありますが

その結果

強度の低いパスワードを

複数のサイトで使い回すことになってしまうのであれば

なんの効果もありません

 

IDの方を変えるという方法もある

自分でIDを設定するようなサービスの場合

どのサイトでもIDを同じものにしがちですが

それをサイト毎に変更するという方法もあります

 

根本的な対策ではありませんが

万が一IDとパスワードが流出しても

IDが異なれば

その組み合わせでの

リスト型アカウントハッキングは成功しません

 

ID=メールアドレスであっても

メールアドレスを複数使い分けることができれば

若干ですが効果があります

 

もしメールアドレスが流出しても

そのアドレスで登録しているサービスは

不正利用される可能性がありますが

異なるメールアドレスで登録しているサービスには

ログインされません

 

有料の場合が多いですが

プロバイダに

複数のメールアドレスを持てるサービスがあったり

gmailやyahoo japanが提供するようなメールでも

エイリアス(別名)と呼ばれる

似たようなサービスがあったりします

 

メールアドレスをIDとして使うのやめて欲しい

管理側としては

個別にIDを発行したり

ユーザーにIDを考えさせて登録させたりすると

管理が煩雑になったり

「IDを忘れました」という問い合わせが続出するので

面倒なんだろうなとは思います

IDをメールアドレスにしておけば

重複したIDは絶対発生しませんからね

 

でもこれだけリスト型アカウントハッキングが

頻発しているんだから

サービス提供側としては

メールアドレス+パスワードで

ログインさせるのを

いい加減やめるべきなんじゃないかと思うんです

 

実際金融機関のインターネットバンキングなどでは

メールアドレス+パスワードで

ログインさせるところなんて

結構少ないんじゃないですかね?

それでも攻撃の対象になりやすいサービスなので

不正利用は頻繁に発生しているようですが

 

メールアドレスなんて

簡単に流出してしまって

絶対それ使って不正利用を試みるやつは出てくるんだし

するなって言っても

パスワードの使い回しはされてしまうんだから

せめてIDくらい

メールアドレス以外のものを設定するように

できないものですかね

 

理想は

今の「ID+パスワード」という

ログイン方法を覆すような

認証方法が主流になることですが

まだまだ先の話になりそうですね