今日、何気なくメールを開いて、サーッと血の気が引いたのがこれ。
@mitsuha_dayoさん、こんにちは。 Twitterアカウントのパスワードが設定されるときに、Twitterの誰もパスワードを見ることができないように、暗号化するテクノロジーを使用しています。 Twitterは最近、パスワードが暗号化されないまま内部ログに保存されるバグを発見しました。 Twitterはこのバグを修正しました。Twitterの調査では第三者による不正や乱用は確認されませんでした。
安全のために、このパスワードを使用したすべてのサービスで、パスワードを変更することをお勧めします。
私はTwitterで使っているパスワードを他で使いまわしていなかったので、Twitterのパスワードだけ変更して終了。ただ、普段使っているパスワードを他のサービスでも同じように使っている人も多いのではないかと思います。
今回のTwitterの件ではパスワードが第三者によって不正に利用されていないと言っているものの、今の時代みんな個人情報もクレジットカード情報もWeb上で気軽に入力するもの。自分の情報は自分でしっかり守りたいですよね。
良い機会なので、安全にパスワードを管理するためのコツを5つ、今一度自戒の意味も込めてまとめてみました。
1. 別のサービスで同じパスワードを使い回さない
パスワードって覚えるのが面倒で、つい同じパスワードを使いまわしている人も多いのではないでしょうか。 ただ、今回のTwitterの件でも書かれているように、怖いのはどれか1つのサービスの情報が不正流出した場合に、他のサービスでの個人情報まで芋づる式で分かってしまうこと。
特に重要な個人情報を含んでいるサービスでは、個別のパスワードを必ず設定しましょう。
2. パスワードは複雑にする
英語の小文字だけ、ましてや数字だけなんてパスワードになっていないでしょうか。
今ではその場でパスワードをランダムに生成してくれるジェネレーターもたくさん存在します。推測されにくいパスワードを設定しましょう。
「覚えられるパスワードが良い!」という方は、英語(大文字・小文字)、数字、記号すべてを組み合わせて作るようにします。長さは、なるべく長い方が良いです。たとえば、「mitsuhadayo」よりも「Mitsuha_day0」の方がパスワードの強さとしては上です。私はパスワードを長くするため、文章のようにすることもあります。
ちなみに私は以前両親が数字だけのパスワードを使っていることを知り、慌ててパスワードを変更させたことがあります。ITリテラシーが高くない身内の方がいる場合、しっかりケアしてあげましょう。
3. 定期的にパスワードを変える
同じパスワードを何年も使いまわすのは、あまりよくありません。(とはいえ私も数年前から放っているパスワードありますが……変えよう。) たとえば私の会社では、3ヶ月ごとにPCのログインパスワードを変えるシステムがあります。
4. 2段階認証をする(大事)
2段階認証って面倒ですよね。面倒なんですけど、決済の情報が含まれるサービス(AmazonなどのEコマース)や、ハッカーから狙われやすいサービス(LINE・Gmail・Facebookとか)は絶対やって置いた方が良いです。
携帯電話の番号で2段階認証をしても良いのですが、万が一スマホをなくした時に大トラブルを引き起こしかねません。
「Authy」というアプリが超便利で、万が一の紛失の際にもバックアップできるのでおすすめです。30秒間だけ有効な2段階認証コードを、サービスごとに発行してくれます。しかも無料という神アプリ。
5. 信頼できる場所でパスワードを管理する
最後に、パスワードを管理する場所です。私が愛用しているのは1Password。
セキュリティもしっかりしており、PCでもアプリでも使えるので、世界的に人気が高いパスワード管理サービスです。クレジットカードの情報や、ログイン情報、秘密のメモなどを安全に保存しておけます。
アプリ内でパスワードのジェネレーターもあります。
1ヶ月のトライアル期間をすぎると有料ですが、価値はあると思っています。ちなみに、トライアルの間にログイン情報を登録をしておけば、トライアル期間が終了した後でも十分使えます。私は両親にも使うよう薦めました。
Twitterからのメールにもパスワード管理のTipsが
今日送られてきたTwitterからのメール本文を見ても、これらの方法が推奨されていることがわかります。(大事なところを太文字にしました)
パスワード設定ページから、いつでもTwitterのパスワードを変更できます。 バグについて Twitterは、bcryptという機能を使用するハッシングと呼ばれるプロセルを通じて、パスワードを暗号化しています。bcryptは、実際のパスワードを数字と文字のランダム集合に置き換え、それがTwiterのシステムに保存されています。 これにより、Twitterのシステムは、パスワードを明らかにすることなく、アカウントログイン情報を認証できます。 これは業界標準です。 バグによって、ハッシング処理が完了する前に、パスワードが内部ログに書き込まれました。 Twitterがこのエラーを発見し、パスワードを削除し、このバグが再発することを防止する対策を講じています。 アカウントを安全に利用するために パスワード情報がTwitterのシステムから盗まれたり、第三者によって乱用されたりしたわけではありませんが、アカウントを安全に保つためにできる対策がいくつかあります。
1. Twitterのパスワードを変更し、同じパスワードを使用している場合は、他のサービスのパスワードも変更してください。
2. 他のサービスで使用していない、推測しにくいパスワードを使用してください。
3. ログイン認証(ツーファクター認証)を有効にしてください。 これがアカウントの安全性を高める最も有効な方法です。
4. パスワードマネージャーを使用して、推測されにくいパスワードをすべての場所で使用するようにしてください。ご心配をおかけして、誠に申し訳ございません。 Twitterは利用者からの信頼の上になりたっており、その信頼を毎日勝ち取り続けられるよう尽力しています。 チームTwitter
Twitterのパスワードを使いまわしている人は、今すぐパスワードを一気に変えて、アプリで管理することをおすすめします。
Twitterのパスワード変更方法はこちら。
- スマホ(iPhone)から:左上アイコン→設定とプライバシー→アカウント→パスワードを変更する
- PCから:右上アイコン→設定とプライバシー→パスワード pic.twitter.com/nceu95L4Cw