リスト型アカウントハッキング多いですね

パスワードリスト攻撃、アカウントリスト攻撃とも呼ばれるようですが、不正に入手されたIDとパスワードの組み合わせで他のサービスにログインを試みる手法です。

そしてほとんどのケースで、ID＝メールアドレスであるサービスが標的になっています。

対策としてはサイト毎に異なるパスワードを設定することですが、実行するのは難しいようで自分も正直そこまで徹底できていません。

でもそろそろ、パスワード管理ソフトを使ってでも強固なパスワードをサイト毎に設定することを考えないといけないなと思い始めています。

なんて言うのは簡単ですが、今や様々なサービスがWEBにあって、自分が利用しているものを数えてみてもその数はゆうに100を超えるので、実行に移すのは大変です。

ちなみに「定期的なパスワード変更」を求められることもありますが、その結果強度の低いパスワードを複数のサイトで使い回すことになってしまうのであれば、なんの効果もありません。

IDの方を変えるという方法もある

自分でIDを設定するようなサービスの場合、どのサイトでもIDを同じものにしがちですが、それをサイト毎に変更するという方法もあります。

根本的な対策ではありませんが、万が一IDとパスワードが流出してもIDが異なれば、その組み合わせでのリスト型アカウントハッキングは成功しません。

ID＝メールアドレスであっても、メールアドレスを複数使い分けることができれば、若干ですが効果があります。

もしメールアドレスが流出しても、そのアドレスで登録しているサービスは不正利用される可能性がありますが、異なるメールアドレスで登録しているサービスにはログインされません。

有料の場合が多いですが、プロバイダに複数のメールアドレスを持てるサービスがあったり、gmailやyahoo japanが提供するようなメールでも、エイリアス（別名）と呼ばれる似たようなサービスがあったりします

メールアドレスをIDとして使うのやめて欲しい

管理側としては、個別にIDを発行したり、ユーザーにIDを考えさせて登録させたりすると、管理が煩雑になったり、「IDを忘れました」という問い合わせが続出するので、面倒なんだろうなとは思います。

IDをメールアドレスにしておけば、重複したIDは絶対発生しませんからね。

でもこれだけリスト型アカウントハッキングが頻発しているんだから、サービス提供側としてはメールアドレス＋パスワードでログインさせるのをいい加減やめるべきなんじゃないかと思うんです。

メールアドレスなんて簡単に流出してしまって、絶対それ使って不正利用を試みるやつは出てくるんだし、するなって言っても、パスワードの使い回しはされてしまうんだから、せめてIDくらいメールアドレス以外のものを設定するようにできないものですかね

理想は今の「ID+パスワード」というログイン方法を覆すような認証方法が主流になることですがまだまだ先の話になりそうですね。