仮想通貨に関係なく、「パスワードの使い回しはいけません」と遥か昔から言われていますが、それでも「覚えきれないから」と同じパスワードを色々なところで使い回している人はたくさんいると思います。
そんな人にとって、他山の石ともなる事件がありました↓
題名からも分かる通り、パスワードを使い回していたがために取引所に置いてあったお金を失った人の話です。
不正アクセスの被害を受けたのは、S氏が仮想通貨取引用に開設した大手取引所(以降A社)の口座です。ここに入金してあった30万円相当の円・ビットコイン・イーサリアムが、何者かによって全額ビットコインに換えられ、不正に送金されていたとのこと。
A社をはじめとする多くの仮想通貨取引所は、不正ログイン対策として2段階認証を導入しており、S氏もこれを設定していました。なお、この認証先としてA社では『メール』『SMS』『アプリ』の3種類を選べるのですが、S氏は『メール』を選択。なお、認証先のメールアドレスは、Yahoo! Japanが提供している『ヤフーメール』だったといいます。
~(中略)~
話を聴き進めていくと、S氏は口座のログインIDとしてヤフーメールのアドレスを使用。さらに、パスワードはヤフーメールのものと同一だったといいます。つまり、パスワードを使いまわしていた点でS氏に落ち度があり、もっと複雑で固有のパスワードに設定すべきでした。またこの場合、二段階認証をメールアドレスではなくSMSなどに設定したほうがセキュリティは強固だったと言えます。
お金を盗んだ犯人はもちろん悪いですが、被害を受けた人もあまり同情の余地は無い気がします。
こんな被害に遭わないために、認証関係で注意するべきことを書いておきます。
二段階認証
Google Authenticatorなどの認証アプリを使うのがベストです。
上の人のように、メールを認証手段として使うと、パスワードさえ分かれば世界中のどこからでもあなたのメールにアクセスできてしまいます。
自分のスマホを第二の鍵として使う認証アプリであれば、自分がスマホを持っている限り、第三者が別の場所から取引所などにログインすることは難しくなります。
以下はGoogle Authenticatorアプリのリンクです。
Google Authenticator for Android
Google Authenticator for iPhone
SMSも携帯を鍵にするのと似ていて一見安全そうですが、実はSMSは盗聴される可能性があるので、SMS認証は安全とは言い切れません。メールよりはマシでしょうが。
パスワード管理ソフト
パスワードを使い回さず、サービス毎に異なるパスワードを使うとなると、パスワード管理ソフト無しにはとても管理しきれません。
管理ソフトによって、サービス毎のIDとパスワードを集中管理できるようになるので、覚えなければならないのは管理ソフトのログインパスワードだけになります。
管理ソフトにはクラウド上で動作するものと、PCやスマホ上にインストールするもの、そして、有料と無料のものという感じで種類が分かれています。
どれを使うかは各人の好みと用途次第なので、「パスワード管理ソフト」でググって有名そうなものをいくつか試して気に入ったものを使うのが良いでしょう。
ちなみに私は、ID Managerというフリーソフトを10年以上使っています。
ID ManagerはWindowsで動作する、インストール不要のスタンドアロンソフトです。
どこかに持っていきたい場合、USBメモリなどにプログラムとデータ一式をコピーしておきます。
そして、使いたいPCからUSBメモリ上のID Managerのプログラムを直接起動するだけで使えるようになるので、とてもシンプルで使いやすいです。
欠点はWindows PC以外では使えないことです。
私のように、「PCが無い所にいる時はログイン作業が必要になることがまずない」という人には良いソフトだと思います。
あと、クラウドを使ったソフトではないので、手元のデータファイルが消えてしまうと全てを失うことになります。
なので、二重、三重のバックアップを別の場所に定期的に取っておく必要があります。
私が前に勤めていた会社では、クラウド上で動作する、LastPassというソフトの使用が強制されていたので使っていましたが、LastPassのプラグインによってブラウザのフォームのオートフィル機能を無効にされ、毎回LastPassにログインしなければならなくなったりして、全体的に操作感が悪かったのであまり好きではありませんでした。
それぞれの人の好みなので、気に入るものを探してみてください。
ベストなパスワードは何か?
私は昔はパスワードを何にするかいつも悩んでいました。
今はパスワード管理ソフトが生成してくれるランダムな英数字などを使い、悩むことも無くなりました。
「どんなパスワードが安全なのか?」という話で面白い記事があるので紹介しておきます。
「小文字に大文字、数字や特殊文字」などを使うパスワード規則は役立たずだった!? | ギズモード・ジャパン
私たちは今まで、「小文字に大文字、数字や特殊文字」が入ったパスワードが一番安全だと教えられてきましたが、それは間違いだったようです。
「小文字に大文字、数字や特殊文字などを含める」というのは、言わずとしれたパスワードを作るときの絶対的なルールですよね。長い間、この規則はあらゆる場面でパスワード設定の基本となっていました。しかし、15年前にこのスタンダードを考案した男性が今になってこのルールは失敗だったと認めています。そして、とても申し訳なく思っているとか。
~(中略)~
ある単純な計算によれば、パスワードは覚えやすい単語を並べた長いものよりも、おかしな文字の羅列で短いもののほうが破られやすいんだとか。NASAの元ロボット研究者によるサイトXKCDに掲載されたコミックでは、コンピューターがパスワードを推測するのにかかる時間は、意味をなさないランダムな文字列だとおよそ3日なのに対し、4つの単純な単語を並べたものだと550年もかかると描かれています。
以下は同じニュースを伝えている別の記事ですが、パスワードをを定期的に変更するのが良いという教えも間違っていたと言っています。
パスワード「90日ごとに変更」は間違い? ルール提唱者が「後悔」 – ITmedia NEWS
例えば「90日ごとに変更する」となると、ユーザーの大半が「Pa55word!1」を「Pa55word!2」に変えるだけ――というように類似のパスワードを使い回しており、悪意あるハッカーの攻撃を防げないという。NISTによれば、パスワードを変更すべきなのは、盗まれた可能性があるときだけでよいとしている。
これはまさに昔私がやっていたことです。みんな考えることは同じなんですね(笑)
それにしても、ランダムな文字列よりも意味のある単語を4つ並べたほうが安全というのには驚きました。
上の記事では、”correct hourse battery staple”などという文字列が紹介されています。(実際のパスワードにはスペースを入れません)
英語が覚えにくかったら日本語のローマ字で4単語作ってもいいかもしれませんね。
ただ、どんな強力なパスワードにしたとしても、サービス毎に別のパスワードを使うべきですから、そうなるととても覚えきれません。
なので、パスワード管理ソフトはやはり必須になります。
まとめ
そういうわけで、まとめです。
1.二段階認証を設定し、認証にはGoogle Authenticatorを使う
2.パスワード管理ソフトを使う
3.安全なパスワードを使う
そして、仮想通貨に関して言えば、「持っている仮想通貨は取引所には長く置かず、ハードウェアウォレットに置く」ということです。
冒頭の記事の被害者の人も、ハードウェアウォレットに資金を置いてあったら被害に遭わずに済んだのですから。
以下の記事も参考にどうぞ。
【初心者注意】LedgerやTREZORなどのハードウェアウォレットをメーカーと正規代理店以外から絶対に買ってはいけない理由