20.3.1.1. パスワードの適切な扱い方
まず最初に、パスワードの取り扱いについて最低限の注意を述べます. 自分のパスワードを守るために、以下に挙げる注意事項を肝に銘じておいてください。
パスワードは秘密にする: たとえ家族や親しい友人に対してでも、パスワードを伝えてはいけません。また、他人が見ている目の前でパスワードを打ったり、パスワードを書いたメモを人の目につくところに置いたりする行為もいけません。パスワードはコンピュータがあなたを認識するための唯一の手段ですから、自分だけの秘密にしておきましょう。
パスワードはサービスごとに区別する: 同じパスワードを様々な場面で使い回していると、1 つのパスワードが破られた時点で、芋づる式に他のサービスも破られる恐れがあります。たとえば悪い人が誰かの Twitter のパスワードを入手し、その Twitter アカウントの登録に GMail のアドレスが使われていたら、同じパスワードで GMail へのログインを試みるのは自然なことです。また、あなた自身の不手際でなくてもサービス提供側の不手際でパスワードが流出することもあります。残念ながら東京大学でも 2015 年に、
外部からの攻撃による情報漏洩が発生しています。万一の際に備え、面倒でもパスワードは使い分けましょう。ただ全てのパスワードを覚えるのは難しいでしょうから、 20.3.1.3. キーチェーン で紹介する機能などを活用しましょう。
パスワードは適切に管理する: たとえばパスワードを書いたメモがコンピュータのすぐ隣に置いてあったら、どんな強力なパスワードを使っていても無意味です。また、パスワードを書いた紙をゴミ箱に捨てると、後で誰かが拾い出す可能性があります。パスワードが他人の目に触れることのないよう、常に細心の注意を払いましょう。
信頼できないコンピュータではパスワードを入力しない: ネットカフェなどにある不特定多数の人が利用するコンピュータでは、誰か悪意を持った人間が、パスワードをこっそり抜き取るためのプログラムを仕掛けていることがあります。また、ウイルス対策をしていないコンピュータは悪いウイルスに感染している恐れがあります。そういうコンピュータでパスワードを入力してはいけません。
他人のコンピュータではプライベートモードを利用する: たとえコンピュータが信頼できる友人や窓口のものであったとしても、入力したパスワードやログイン情報がそのコンピュータに残ってしまうと、アカウントを混同してしまったり、後に現れた第三者に悪用されたりといったトラブルの原因となります。他人のコンピュータを使うことは推奨されませんがやむなく使う場合は、履歴やログイン情報を残さないように、ブラウザのプライベートモードを利用しましょう。
パスワードは適切なものを用いる: 覚えやすさを優先して考えると、単純なパスワードを用いたくなるかもしれません。しかし、次の 20.3.1.2. 良いパスワード で説明するような良いパスワードを用いることを優先してください。覚えにくければ紙に書いても構いません(その場合はクレジットカードと同様に厳重に管理してください)。また次の次のページで説明するように「キーチェーン」などの仕組みを用いて、様々なパスワードを一つの「マスターパスワード」で管理する方法もあります。
ウェブブラウザにパスワードを入力するときの注意 #
教育用計算機システム (ECCS) のパスワードを始めとして、インターネットを利用していると、しばしばウェブブラウザを経由してパスワードを入力することがあります。その際は、以下の 2 点に注意しなければいけません。
- 通信が暗号化されていること
- パスワードを入力する先が、正規のウェブサイトであること
暗号化通信が使われているか #
まず 1 点目について、ウェブブラウザで見られる情報の多くはオープンなものです。よってウェブブラウザの通信はデフォルトでは暗号化されず、第三者が容易に傍受することができます。特に大学内、駅やカフェなどで利用できる公衆無線 LAN (Wi-Fi) アクセスポイントでは、悪意を持つ人が勝手に設置した、同じ名前のアクセスポイントに接続してしまうことも考えられます。したがって傍受の危険が高いといえます。
しかしパスワードを送る際に情報が傍受されては困りますから、そういう場合は通信を暗号化する必要があります。ウェブブラウザの場合、暗号化された通信を行うときは URL が “https” から始まるようになり、多くの場合鍵のアイコンが表示されるようになります。たとえば Google Chrome で ECCS の セキュアWWWサーバ を開くと、次のようになります。
赤丸で囲んだ中の URL が https から始まっており、確かに通信が暗号化されていると分かります。ただし、ページを開く際に「不正な証明書です」「証明書を検証できません」といった警告メッセージが表示された場合は、正しく暗号化されていませんし、偽物サイトの可能性が高いです。
もしパスワードを入力する場面でこのように暗号化されていることがチェックできない場合は、慎重にならなければいけません。
入力先は本物のサイトか #
続いて 2 点目ですが、いくら通信が暗号化されていても偽物のサイトにパスワードを入力しては元も子もありません。詳細は 20.3.3. フィッシング で述べますが、最低限ドメイン名のチェックをしましょう。たとえば東京大学に関係するサービスにログインをする場合、アドレスは u-tokyo.ac.jp を含むのが普通です。以下に OK な例と NG な例を挙げます。
- OK: lecture.ecc.u-tokyo.ac.jp (授業のためのもの)
- OK: itc-lms.ecc.u-tokyo.ac.jp
- NG: www.u-tokyo.com (u-tokyoという文字列を含むが、東京大学の管理ではない)
- NG: www.u-tokyo.ac (後ろのjpが無いことに注意。やはり、u-tokyoという文字列を含むが、東京大学の管理ではない)
u-tokyo.ac.jp を含むアドレスにアクセスする人をターゲットとして u-tokyo.com などといった紛らわしいドメインを用意するのは、悪いことをする際の常套手段です。騙されないようにしてください。