ニトリの公式アプリ会員の個人情報、約13万件が流出したニュースがあった。クレジットカード番号は一部の保管のため、悪用されることはないという。
外部のサイトから取得したID,パスワードを利用したリスト攻撃を受けたということでした。
リスト攻撃をうけて特定のアカウントでのログインを許すことはなんとなくわかるが、それだけで13万件の流出を許したのは、ほかの脆弱があったと想像してます。
ちょっと前までは、パスワードの運用としては、定期的なパスワード変更は、本当に有効なのか?という疑問や問題提起の記事を見かけました。
細かい理由は忘れましたが、定期的な変更で運用すると、覚えやすい単調な文字の組み合わせで構成される割合が高いというような統計だったような。。
定期的な変更はせず、複雑なパスワード(多くの文字、種類で構成)するほうがよいとの見解もありました。
複雑なパスワードで構成しても、それをあらゆるサービスで使いまわしては、今回のようなリスト攻撃では脆弱です。
おそらく複雑なパスワードは覚えることが困難なので、ブラウザで記憶させて特定の端末で使うような前提で、各サービスで、それぞれ違う複雑なパスワードで設定する運用を想定してるのと思います。
定期的な変更は、単調な構成になりやすいとはいえ、リスト攻撃に絞れば強いかもしれない。ただし攻撃はリスト攻撃だけではなく、ブルートフォースなど、単調なものは短時間で破られてしまう攻撃もあるので、強いとはいえない。
ある程度、複雑なパスワードを、サービスごとに変え、さらに定期的な変更が一番有効とは思うのだが、このご時世、多くのサービスやアプリを使わないといけないので、無理があります。
私が試してる方法は、自分にしかわからない文字と数字の組み合わせを数種だけ覚えておいて、サービス固有の頭文字や単語をつなげるような方法でパスワードが被らないような運用を試してします。
定期的な変更はしない方針で。。
これがいいかは、わからないが多くのサービスを運用するはこれでも、かなりの負担。
まあ、主要なサービスは2段階認証などで、セキュリティは高くなっていますが、スマホがないと何もできない状態も好きではないので、なんともきりがない問題です。
