セキュリティ - Sho T@ ウィキ

-セキュリティ

---

パスワードの使い回しによる危険

パスワード流出関連のニュースを最近よく目にします。
IPAでも「パスワードの使い回し」について注意を呼びかけています。

【引用】（2013.8.1）

図中【1】のように、各社のサービスにおいてIDとパスワードをすべて同じにしている場合、その中のいずれかのサービス企業でアカウント情報が漏えいしてしまうと、図中【2】のように悪意ある者が他社のサービスで同じIDとパスワードを用いて、利用者Xになりすましてログインすることができます。これで、パスワードリスト攻撃が成功したことになります。その後、悪意ある者はログイン可能なIDとパスワードを悪用して不正アクセスし、最終的には金銭に結びつくような二次的被害を引き起こします。 https://www.ipa.go.jp/security/txt/2013/08outline.html

【引用】（2013.8.14）

Some highlights: A third of people use the same password for every site. 

http://mashable.com/2013/08/08/security-password-infographic/

下記では、2013年4月〜8月のパスワードリスト攻撃についてよくまとめられています。

【引用】（2013.8.19）

「パスワードリスト攻撃」はIPAが2012年7月の届け出状況の報告で使い始めた言葉です。セキュリティの専門家やセキュリティベンダ(例えばSST)もこの言葉が使われているシーンを見かけます。この記事でもIPAにならってパスワードリスト攻撃という名称で記載していますが、IDとパスワードがセットで使われる攻撃にも関らずパスワードのみのリストのような「パスワードリスト」と表現されるのは今一腑に落ちないところでもあります。
http://d.hatena.ne.jp/Kango/20130818/1376839935

また、下記ではパスワード利用者のデータがよくまとめられています。

【引用】（2013.8.19）

「使い回し」が行われるのは、ID・パスワードがたくさんありすぎて管理しきれない、という実情がある。トレンドマイクロが2012年12月に公開した「Webサイトのパスワード利用実態調査」によると、一人あたり約14個（標準偏差）のWebサイトを利用しており、約7割が3種類以下のパスワードを複数のWebサイトで使い回しているという。
http://www.dir.co.jp/research/report/esg/esg-news/20130814_007556.html