二要素認証の普及にもかかわらず、パスワードのセキュリティは依然として最優先事項です。パスワードがユニークで、比較的長く、データベースの侵害で平文のまま見つかっていない限り、変更した方が良いでしょう。サイトによっては、何年も、あるいは一度もパスワードを変更していないかもしれません。(逆に、あなたが利用している特定のサイトのパスワードがユニークで、長く、侵害されていないのであれば、変更する正当な理由はありません。)
Appleは、最悪のパスワードを修正するためのツールを提供しています。セキュリティに関する推奨事項は、iOS/iPadOSでは「設定」 > 「パスワード」で確認できます。macOSでは、「システム設定」 > 「パスワード」(Ventura)、または「システム環境設定」 > 「パスワード」(Monterey)、または「Safari」 > 「環境設定/設定」 > 「パスワード」(すべてのmacOSバージョン)で確認できます。macOSでの管理が最も簡単なので、以下の例はVenturaのものです。
推奨事項は「高優先度の推奨事項」と「その他の推奨事項」に分かれています。私の場合、前者のカテゴリには18件、後者のカテゴリには68件ありました。(高優先度の推奨事項がない場合は、リストが表示されるだけです。)Appleがなぜ一部のエントリを「高優先度」カテゴリに昇格させるのかは不明です。私のアカウントでは、「高優先度」としてリストされている項目には、金融サイト、政府機関(.gov)サイト、そして複数のAppleサイトが含まれています。その他のサイトには、必ずしも共通点があるわけではありません。おそらく、パスワードが短いか、パスワードに使用されている単語が頻繁に使用されているか、といった点が関係しているのでしょう。
Appleがリストアップした警告
高優先度エントリと標準優先度エントリの両方で警告として表示される内容は次のとおりです。
よく使われるパスワード: よく使われるパスワードは、長年にわたるパスワード漏洩の結果です。多くの人が使用しているパスワードは、犯罪者やその他の攻撃者はもちろんのこと、誰でもインターネット上で簡単に見つけることができます。Appleは、「多くの人がこのパスワードを使用しているため、推測が容易です」と述べています。私はこのカテゴリに該当するテストアカウントをいくつか見つけました。これは、私が設定して一度も使用したことのないアカウントや、一時的に私のために設定されたアカウントです。パスワードは、文字 a と単語の 組み合わせと同じくらい脆弱でしたpassword。(これらの照合は、Appleがコンピュータに保存している情報に基づいて行われます。)
同一のパスワードを暗号的に難読化された固有のエントリとして扱う適切な最新保護が欠如しているアカウントデータベースにアクセスしたクラッカーは、まず最も頻繁に侵害されるパスワードのリストを実行します。これにより、簡単に攻撃できる標的を見つけることができます。
よく使われる単語。Apple は、あなたの言語で短くて頻繁に使われる一般的な単語を使用している場合、警告を表示します。かつてのパスワードクラッカーは、一般的な単語を使ってパスワードを解読していましたが、パスワードの保存方法の変更により、この方法は時代遅れになっている可能性があります。しかし、パスワードの全部または大部分が一般的な単語で構成されるのは、依然として賢明ではありません。
データベース漏洩。 データベース漏洩で特に発見されたパスワード(一般的なものかどうかは問いません)。Appleの説明は、「このパスワードはデータ漏洩で発見されたため、このアカウントが侵害されるリスクが高い」というものです。これらのパスワード照合は、Appleがライセンスを取得し、取得・保管している信頼できるセキュリティソースが収集した侵害データとAppleがリモートで照合し、ユーザーのパスワードが正確に送信されるのを防ぐ巧妙な暗号化手法を用いて行われます。Appleのリストには15億件のパスワードが含まれています。ただし、「漏洩パスワードの検出」を無効にすることで、この処理をオプトアウトできます。
アカウントへの侵入を試みる者は、利用可能な計算リソースに応じて、あまり一般的ではないパスワードを使用することもあります。あなたが使用しているパスワード(あなた自身が使用しているもの、あるいは世界中の人々が使用しているもの)が平文で漏洩したことがある場合、誰かがそのパスワードを使ってあなたのアカウントを攻撃できないという保証はありません。
パスワードの使い回し。Apple は、複数のサイトでパスワードを使い回している場合にこのことを警告します。テキストには、「このパスワードを「ドメイン」で使い回しているため、「ドメイン」アカウントが侵害された場合、このアカウントのリスクが高まります」と表示されます。
かつては、強力なパスワード(当時は8文字のランダムな文字列、後に12文字まで)を設定し、あらゆる場所で使い回すのが常識でした。そして、定期的にパスワードを変更するように勧められていました。しかし、このアドバイスはとうの昔に時代遅れになってしまいました。今では、AppleのOSに内蔵されているようなパスワードマネージャーを使って、登録するサイトやサービスごとに、固有の長いパスワードを作成し、保存する必要があります。
パスワードの品質を向上させる方法
Appleには、脆弱なパスワードや不正使用されたパスワードを素早く変更できるショートカットがあります。優先度の高いエントリの場合は「ウェブサイトでパスワードを変更」をクリックし、それ以外のエントリの場合は、まずエントリをクリックしてから「ウェブサイトでパスワードを変更」をクリックしてください。
すると、サイトのパスワード変更ページまたはアカウント管理ページが表示される場合があります。Appleは、ウェブサイト運営者が https://example.com/.well-known/change-password 適切なページにリダイレクトする特別な形式のファイル(またはスクリプト)を配置できる仕様を開発しました。適切な場所が存在する場合は、「ウェブサイトでパスワードを変更」ボタンをクリックすると適切な場所に移動します。存在しない場合は、サイトのホームページに移動します。(ウェブサイトの規模に関係なく、設定は非常に簡単です。)
Safari を使用して Web サイトでパスワードを変更すると、キーチェーンに保存されているパスワードを更新するように求められます。
パスワードを直接変更し、ウェブサイトにコピー&ペーストすることもできます。「編集」をクリックし、「強力なパスワードを作成」をクリックすると、パスワードマネージャーが新しく、より強力なパスワードを生成します。ただし、 ログイン時に古い パスワードが必要になる場合がありますので、更新する前に古いパスワードをメモしておいてください。
この Mac 911 の記事は、Macworld の読者 François から寄せられた質問に対する回答です。
Mac 911に問い合わせる
よくある質問とその回答、コラムへのリンクをまとめました。FAQ集をご覧になり、ご質問が網羅されているかご確認ください。もし掲載されていない場合でも、私たちは常に新しい問題解決の糸口を探しています!ご質問は [email protected]までメールでお送りください。スクリーンショット(必要な場合)と、氏名の使用可否を明記してください。すべての質問に回答できるとは限りません。メールへの返信は行っておりません。また、トラブルシューティングに関する直接的なアドバイスも提供できません。
