2017年3月11日土曜日

ショップサイトなどのホームページ(https://)の安全診断ができる無料サービス紹介

ショップサイトやインターネット・バンキングなどの個人情報を入力するなどのホームページは、通常、URLが”https://~”(httpにsがついています)で、”SSL/TLS”という通信技術を使い、インターネットとの通信を暗号化しています。

なお、このようなホームページでも、通信を盗まれ攻撃に会う危険なホームページも存在します。


最近は、ネットショップなどの様々なホームページで個人情報の流出が相次いでいます。事前にサイトの安全性を確認しないと危険です。

そこで、URLが”https://~”の場合に使える、簡単なホームページ安全チェックサービスをまとめましたので、普段使っているショップサイトなどのホームページの安全診断に役立てて下さい。

今回紹介する中で、お勧めは、電子証明書を販売しているGMOグローバルサイン提供のWebサイトの安全性診断サイト”SSL Server Test”です。

これで、最近、個人情報流出が発覚したホームページ2つを診断してみると、脆弱性(弱点)があり、”安全でない”という結果になり、有効だと感じました。


この”SSL Server Test”は、診断結果がA+ 、A……Fまでの8段階のグレードで表示され、「B以下」と診断された場合には、何らかの脆弱性(サイトの弱点)あり、安全でないと判断できます。

例えば、カード情報が漏えいした可能性がある「Re:CENO公式オンラインショップ」の診断結果は「C」で、”安全でない”という結果でした。安全性(セキュリティ)をあまり考慮していないホームページでは、個人情報流出の危険性も高いと思われます。



■ ホームページの診断が正確 結果も分かりやすい

■ GMOグローバルサイン ”SSL Server Test”


 SSL Server Test (Powered by Qualys SSL Labs)
 https://globalsign.ssllabs.com/



GMOグローバルサインという電子証明書を販売している会社が提供している、無料のWebサイトの安全性診断サイトです。簡単で、かつ正確に安全性を判断してくれます。

■使い方

使い方は、簡単で、このサイトにアクセスして、①調べたいURLを入力 ②[Submit]をクリックすると診断がスタートし、しばらくたつと総合的な診断結果と、問題点の詳しい内容を知ることができます。




診断結果はA+ 、A……Fまでの8段階のグレードで表示され、「B以下」と診断された場合には、何らかの脆弱性(サイトの弱点)が見つかったことになります。

*8段階のグレードは、私がサイトを調べた結果、安全性が高い順に ”A+、A、A-、B、C、D、E、F” となっているようです。

ネットショップやインターネットバンキング等の金銭に関わるサイトの場合、診断結果が「B以下」は利用しないほうが無難です。


■Amazonの診断結果は最高の「A+」→安心して利用できます。

ちなみに、Amazonの診断結果は最高の「A+」でした、さすがですね。安心して利用できます。


■カード情報流出のサイトの診断結果は「C」→利用しないほうが良い

最近、カード情報が流出したサイトの診断結果は「C」ランクで、脆弱性(弱点)を持っていました。





なお、URLが”https://~”(Sがついている)の時に使われている”SSL/TLS”という通信技術が、安全な”TLS 1.2”バージョンを使用しているか、弱い暗号を使っていないかなど、詳しい脆弱性(弱点)も分かります。



また、“Configuration”の欄では、”SSL/TLS”で、使われている通信技術のバージョンが分かります。

2017年3月迄で使われている、”SSL/TLS”のバージョンには、SSL 1.0、SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1、TLS 1.2がありますが、安全なのは”TLS 1.2”のみです。




■ ホームページの安全性を細かく診断

■  Symantec”証明書チェックサイト”



 証明書チェックサイト(Check your SSL/TLS certificate installation)
 https://cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp

このサイトは、セキュリティソフト会社大手のSymantec(シマンテック)が提供しています。

このサイトでは、URLが”https://~”(Sがついている)の時に使われている”SSL/TLS”技術の安全性を細かく診断できます。

使い方は、簡単で、このサイトにアクセスして、①調べたいURLを入力 ②[Check]をクリックすると診断がスタートし、しばらくすると、問題点の詳しい内容を知ることができます。







■ その他のホームページ安全チェックサービス


ホームページにフィッシング、ワンクリック不正請求、不正改ざんサイト、ウイルスなどの危険があるかをチェックできるサービスもあります。


■gred http://check.gred.jp/

セキュリティチェック会社のセキュアブレイン社が、有料サービスの一部を無料で公開しています。

使い方は簡単です。 フォームにホームページのアドレスを入力して「CHECK」ボタンをクリックするだけです。

ホームページのフィッシング、ワンクリック不正請求、不正改ざんサイト、ウイルス、ワーム、スパイウェア、マルウェア などをチェックできます。



■virustotal https://www.virustotal.com/ja/

VirusTotal は、無料のマルウェアチェックサービスです。ウイルス、ワーム、トロイの木馬、あらゆる種類のマルウェアを素早く検出できます。


2017年3月10日金曜日

ブラウザFirefoxでサイトが安全かどうかを見分ける方法

個人情報流出がたびたびニュースで流れると、サイトが本当に安全を考慮して作られているのか不安になりますね。

また、URLが「https://~」(通信が暗号化されている)でも、脆弱性(弱点)が攻撃される時代です。

ネットショッピングやインターネット・バンキングでは、やはりサイトが安全に作られているか確認することが大事です。


そこで、今回は、ブラウザFirefoxでサイトが安全かどうかを確認する方法を紹介します。


サイトを表示した際にエラー表示が出た場合や、ショッピングやインターネット・バンキングをする際にサイトが安全かどうか確認する場合に活用ください。

なお、サイトの安全性の確認のためには、Firefoxはぜひ最新版に更新してください。

ブラウザを最新版にすることで、URLが”https://~”のときに使われている「SSL/TLS」という技術が持っている脆弱性(弱点)の対応も可能になります。



 ブラウザChromeでの確認方法は以下を参照ください。

  ブラウザChromeでサイトが安全かどうかを見分ける方法
  http://lifesecurityup.blogspot.com/2017/03/chrome.html

 ブラウザIEでの確認方法は以下を参照ください。

  ブラウザIEでサイトが安全かどうかを見分ける方法
  http://lifesecurityup.blogspot.com/2017/03/ie.html



また、サイトの安全性を確認する方法の一つに、無料の”Webサイトの安全性診断サイト”を利用する方法もあります。詳しい使い方を以下のブログにまとめています。こちらも参考にしてください。

 ネットショップなどのサイトの安全性を簡単に判断する方法とは
 http://lifesecurityup.blogspot.com/2017/02/web.html



■ アドレスバーですぐに分かるサイトの安全性


”安全なサイト”と”不安なサイト”をアドレスバーで確認



[安全なサイト]

①アドレスバーのURLの左に”鍵マーク”の表示

②鍵マークの左のアイコン(サイトの情報)をクリックして、“安全な接続”と表示される




[不安なサイト]

①アドレスバーのURLの左に”鍵マーク”と、△に!が入ったマークが表示

②鍵マークの左のアイコン(サイトの情報)をクリックして、“この接続は安全ではありません”と表示される





■ サイトの安全性を詳しく知るには”サイトのページ情報”を確認



■(1) ”サイトのページ情報”を表示

①鍵マークの左のアイコン(サイトの情報)をクリック

②>をクリック

③[詳細を表示]をクリック

④サイトのセキュリティ情報が表示






■(2)接続(通信プロトコル)を確認

 


[安全な場合]

“接続が暗号化されています(・・TLS 1.2)”の表示があればOK






[安全ではない場合]

“一部の接続だけが暗号化されています”の表示でNG



 

NGの場合、Symantecの以下の証明書チェックサイトで詳細を確認ください

 証明書チェックサイト(Check your SSL/TLS certificate installation)
 https://cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp

 

チェック結果の下の方に以下の表示があり、「TLS1.0」が使われておりNGです (「TLS1.2を使っていない)。

  Protocols enabled:  使われているプロトコル
  TLS1.0

  Protocols not enabled: 使われていないプロトコル
  TLS1.2
  TLS1.1
  SSLv3
  SSLv2



 


参考:
インストールした証明書の確認方法(チェックサイトでの確認方法) | Symantec
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=SO22875



(3) 署名アルゴリズムの確認

  「SHA-1」→× 悪用される危険性
  「SHA-2」→○ 代表的なものは”SHA-256”


証明書を表示させ、詳細タブの「Certificate Signature Algorithm」のフィールド値を確認。

① “サイトのページ情報”画面で[証明書表示]をクリック

②詳細タブをクリック

③[詳細]タブの「Certificate Signature Algorithm」(署名アルゴリズム)を確認

④フィールドの値が“SHA-256”であればOK!








■ URLが「https://」でも悪用される危険性

■  使っている通信技術「SSL/TLS」にも悪用されるバーションがある


SSL(Secure Sockets Layer)と、TLS(Transport Layer Security)はいずれも、インターネット上でデータを暗号化して送受信するプロトコルです。

WebサイトのURLが「https://~」になっていると、「HTTP」と「SSLあるいはTLS」が組み合わせて使用されています。

HTTPがそのままデータを送信するのに対して、HTTPSは個人情報やクレジットカードの情報などを、SSLやTLSで暗号化して送信しています。

SSL/TLSで、これまで使われているバージョン(2017年2月段階)には、SSL 1.0、SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1、TLS 1.2があります。安全なのは”TLS 1.2”のみです。

ごく最近まで広く使用されていたSSL3.0も、重大な脆弱性であるPOODLEが発見されたことから、多くの主要ブラウザはSSL3.0を無効とした他、TLS1.0/1.1においても脆弱性があることが分かっています。



■ URLが「https://」でも悪用される危険性
■  Webサイトの証明書を暗号化する技術「SHA-1」に悪用される危険性


Webサイトの証明書(サーバ証明書)が正規のものであるかをチェックする際に使われる一種の暗号化技術(ハッシュ化アルゴリズム)に、「SHA-1」、「SHA-2」と呼ばれるものがあります。

しかし、2005年、「SHA-1」に対する効果的な攻撃法が発見され、悪用される危険性があり、今では、「SHA-1」から「SHA-2」(SHA224、SHA256、SHA384、SHA512)への移行が推奨されています。


この「SHA-1」の危険性のため、2017年の最新ブラウザでは、安全でない暗号化「SHA-1」を使っているサイトではエラー表示が出るようになっています。

 ・Chromeは2017年1月の最新版の「Chrome 56」からエラー表示
 ・Firefoxは2017年1月の最新版の「Firefox 51」からエラー表示
 ・Microsoft Edge および Internet Explorer 11 は2017年2月14日から

「SHA-1」を使っていた場合は、証明書の偽造が可能になり、ブラウザが本物のWebサイトと区別できなくなります。本来ならば、安全な暗号化「SHA-2」を使わないといけません。


2017年3月9日木曜日

ブラウザIEでサイトが安全かどうかを見分ける方法

個人情報流出がたびたびニュースで流れると、サイトが本当に安全を考慮して作られているのか不安になりますね。また、URLが「https://~」(通信が暗号化されている)でも、脆弱性(弱点)が攻撃される時代です。

ネットショッピングやインターネット・バンキングでは、やはりサイトが安全に作られているか確認することが大事です。

そこで、今回は、ブラウザIEでサイトが安全かどうかを確認する方法を”IE11”の例で紹介します。


サイトを表示した際にエラー表示が出た場合や、ショッピングやインターネット・バンキングをする際にサイトが安全かどうか確認する場合に活用ください。

なお、サイトの安全性の確認のためには、ブラウザIEはぜひ最新版に更新してください。

ブラウザを最新版にすることで、URLが”https://~”のときに使われている「SSL/TLS」という技術が持っている脆弱性(弱点)の対応も可能になります。


 ブラウザChromeでの確認方法は以下を参照ください。

  ブラウザChromeでサイトが安全かどうかを見分ける方法
  http://lifesecurityup.blogspot.com/2017/03/chrome.html



 ブラウザFirefoxでの確認方法は以下を参照ください。

  ブラウザFirefoxでサイトが安全かどうかを見分ける方法
  http://lifesecurityup.blogspot.com/2017/03/firefox.html


また、サイトの安全性を確認する方法の一つに、無料の”Webサイトの安全性診断サイト”を利用する方法もあります。詳しい使い方を以下のブログにまとめています。こちらも参考にしてください。

 ネットショップなどのサイトの安全性を簡単に判断する方法とは
 http://lifesecurityup.blogspot.com/2017/02/web.html




■ アドレスバーですぐに分かるサイトの安全性


”安全なサイト”と”不安なサイト”をアドレスバーで確認


[安全なサイト]

アドレスバーのURLの右に鍵マークの表示


[不安なサイト]

アドレスバーのURLの右に鍵マークが無い!

URLがhttps://~なのに鍵マークが無い!!





■ サイトの安全性を詳しく知るにはWebページの[プロパティ]を選択


Webサイトにアクセスしているときに、Webページ上で、画像などがないところを右クリックし、ポップアップ・メニューから[プロパティ]を選択します。

(1) Webページの[プロパティ]の表示

Webページ上で右クリックして、[プロパティ]を選択すると、小さな別画面で、Webページの情報が表示されます。

(注)この画面で”証明書”をクリックするとサイト証明書が表示されます。





(2)接続(通信プロトコル)を確認

[安全な場合]

接続(通信プロトコル)が「TLS1.2」であればOK



[安全ではない場合]

接続(通信プロトコル)が「TLS1.2」以外はNG






(3) Webページ[プロパティ]でサイト証明書を表示

[プロパティ]画面で[証明書]をクリックするとサイト証明書が表示されます。
 



①詳細タブの「署名アルゴリズム」を確認

②署名アルゴリズムにSHA256(SHA-2)を使っていればOK!




■ URLが「https://」でも悪用される危険性

■  使っている通信技術「SSL/TLS」にも悪用されるバーションがある


SSL(Secure Sockets Layer)と、TLS(Transport Layer Security)はいずれも、インターネット上でデータを暗号化して送受信するプロトコルです。

WebサイトのURLが「https://~」になっていると、「HTTP」と「SSLあるいはTLS」が組み合わせて使用されています。

HTTPがそのままデータを送信するのに対して、HTTPSは個人情報やクレジットカードの情報などを、SSLやTLSで暗号化して送信しています。

SSL/TLSで、これまで使われているバージョン(2017年2月段階)には、SSL 1.0、SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1、TLS 1.2があります。安全なのは”TLS 1.2”のみです。

ごく最近まで広く使用されていたSSL3.0も、重大な脆弱性であるPOODLEが発見されたことから、多くの主要ブラウザはSSL3.0を無効とした他、TLS1.0/1.1においても脆弱性があることが分かっています。




■ URLが「https://」でも悪用される危険性
■  Webサイトの証明書を暗号化する技術「SHA-1」に悪用される危険性


Webサイトの証明書(サーバ証明書)が正規のものであるかをチェックする際に使われる一種の暗号化技術(ハッシュ化アルゴリズム)に、「SHA-1」、「SHA-2」と呼ばれるものがあります。

しかし、2005年、「SHA-1」に対する効果的な攻撃法が発見され、悪用される危険性があり、今では、「SHA-1」から「SHA-2」(SHA224、SHA256、SHA384、SHA512)への移行が推奨されています。


この「SHA-1」の危険性のため、2017年の最新ブラウザでは、安全でない暗号化「SHA-1」を使っているサイトではエラー表示が出るようになっています。

 ・Chromeは2017年1月の最新版の「Chrome 56」からエラー表示
 ・Firefoxは2017年1月の最新版の「Firefox 51」からエラー表示
 ・Microsoft Edge および Internet Explorer 11 は2017年2月14日から

「SHA-1」を使っていた場合は、証明書の偽造が可能になり、ブラウザが本物のWebサイトと区別できなくなります。本来ならば、安全な暗号化「SHA-2」を使わないといけません。



2017年3月8日水曜日

ブラウザChromeでサイトが安全かどうかを見分ける方法

個人情報流出がたびたびニュースで流れると、サイトが本当に安全を考慮して作られているのか不安になりますね。また、URLが「https://~」(通信が暗号化されている)でも、脆弱性(弱点)が攻撃される時代です。

ネットショッピングやインターネット・バンキングでは、やはりサイトが安全に作られているか確認することが大事です。

そこで、今回は、ブラウザChromeでサイトが安全かどうかを確認する方法を紹介します。

サイトを表示した際にエラー表示が出た場合や、ショッピングやインターネット・バンキングをする際にサイトが安全かどうか確認する場合に活用ください。


なお、サイトの安全性の確認のためには、ブラウザChromeはぜひ最新版に更新してください。

ブラウザを最新版にすることで、URLが”https://~”のときに使われている「SSL/TLS」という技術が持っている脆弱性(弱点)の対応も可能になります。


 ブラウザIEでの確認方法は以下を参照ください。

  ブラウザIEでサイトが安全かどうかを見分ける方法
  http://lifesecurityup.blogspot.com/2017/03/ie.html



 ブラウザFirefoxでの確認方法は以下を参照ください。

  ブラウザFirefoxでサイトが安全かどうかを見分ける方法
  http://lifesecurityup.blogspot.com/2017/03/firefox.html



また、サイトの安全性を確認する方法の一つに、無料の”Webサイトの安全性診断サイト”を利用する方法もあります。詳しい使い方を以下のブログにまとめています。こちらも参考にしてください。

 ネットショップなどのサイトの安全性を簡単に判断する方法とは
 http://lifesecurityup.blogspot.com/2017/02/web.html




■ アドレスバーですぐに分かるサイトの安全性


”安全なサイト”と”不安なサイト”をアドレスバーで確認


[安全なサイト]

アドレスバーのURLの左に鍵マークと“保護された通信”の表示




[不安なサイト]

アドレスバーのURLの左に鍵マークが無い!






■ サイトの安全性を詳しく知るためには「Security」パネルを活用


HTTPS(URLが”https://~”)の状態を検証するために、Chromeには「Security(セキュリティ)」パネルが追加されています。

Securityパネルで次の3項目の安全性を知ることができます。

①証明書: 有効なTLS/SSL証明書が使用されているかどうか
②TLS接続: 安全なTLS/SSL接続が確立されているかどうか
③リソース: 画像やJavaScriptなどのリソースもTLS/SSLで配信されているかどうか


(1) Chrome サイト証明書確認は“Security(セキュリティ)パネル”から

① [Google Chromeの設定](右上の3本バー) − [その他のツール] − [デベロッパー ツール]

②「Security」タブを選択 *表示されない場合は、“≫”をクリック





(2)サイト全体の確認

[安全な場合]

“This pase is secure (valid HTTPS).”

(このページは安全です(有効なHTTPS))と表示。




[安全ではない場合]

“This page is not secure.”(このページは安全ではありません)と表示。


(3) 通信プロトコル「TLS1.2」確認

①使われているSSL/TLSの暗号化通信プロトコルのバージョンを確認


[Secure Connection]の欄を確認  バージョンが“TLS 1.2”であればOK!



[Secure Connection]の欄を確認  バージョンが“TLS 1.2”以外であれば問題あり



(4) 署名アルゴリズム「SHA-2」確認

①「View certificate」ボタンをクリックし、詳細タブの「署名アルゴリズム」を確認

②署名アルゴリズムにSHA256(SHA-2)を使っていればOK!





■ URLが「https://」でも悪用される危険性

■  使っている通信技術「SSL/TLS」にも悪用されるバーションがある


SSL(Secure Sockets Layer)と、TLS(Transport Layer Security)はいずれも、インターネット上でデータを暗号化して送受信するプロトコルです。

WebサイトのURLが「https://~」になっていると、「HTTP」と「SSLあるいはTLS」が組み合わせて使用されています。

HTTPがそのままデータを送信するのに対して、HTTPSは個人情報やクレジットカードの情報などを、SSLやTLSで暗号化して送信しています。

SSL/TLSで、これまで使われているバージョン(2017年2月段階)には、SSL 1.0、SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1、TLS 1.2があります。安全なのは”TLS 1.2”のみです。

ごく最近まで広く使用されていたSSL3.0も、重大な脆弱性であるPOODLEが発見されたことから、多くの主要ブラウザはSSL3.0を無効とした他、TLS1.0/1.1においても脆弱性があることが分かっています



■ URLが「https://」でも悪用される危険性
■  Webサイトの証明書を暗号化する技術「SHA-1」に悪用される危険性


Webサイトの証明書(サーバ証明書)が正規のものであるかをチェックする際に使われる一種の暗号化技術(ハッシュ化アルゴリズム)に、「SHA-1」、「SHA-2」と呼ばれるものがあります。

しかし、2005年、「SHA-1」に対する効果的な攻撃法が発見され、悪用される危険性があり、今では、「SHA-1」から「SHA-2」(SHA224、SHA256、SHA384、SHA512)への移行が推奨されています。

この「SHA-1」の危険性のため、2017年の最新ブラウザでは、安全でない暗号化「SHA-1」を使っているサイトではエラー表示が出るようになっています。

 ・Chromeは2017年1月の最新版の「Chrome 56」からエラー表示
 ・Firefoxは2017年1月の最新版の「Firefox 51」からエラー表示
 ・Microsoft Edge および Internet Explorer 11 は2017年2月14日から

「SHA-1」を使っていた場合は、証明書の偽造が可能になり、ブラウザが本物のWebサイトと区別できなくなります。本来ならば、安全な暗号化「SHA-2」を使わないといけません。

2017年3月3日金曜日

「1Password」や「LastPass」などのパスワードマネージャーに重大な欠陥があると専門家が警告

スマホで、パスワード管理が簡単で便利ですよと、よく紹介されているパスワードマネージャーですが、「1Password」や「LastPass」などのパスワードマネージャーには、ドイツのセキュリティ研究者によると重大な欠陥があるそうです。

これまで、スマホで人気のパスワードマネージャーを使っている人は要注意です。

大事なパスワードをパスワードマネージャーに預けるのは、”自分の大事なものを知らない人の金庫に預ける”のと同じ気がします。

また、2014年には、アメリカの研究者が、Web版の「LastPass」「RoboForm」などのパスワード管理ツールに潜む危険性を指摘しています。

少々、めんどうでも、自分なりに工夫して、パスワードをノートに記録したり、データにまとめ暗号化し、紛失やデータの流出に注意して、管理するほうが一番安全かもしれません。

 
■Google Playで人気の高い9つのパスワードマネージャーアプリに重大な脆弱性(欠陥)

パスワードマネージャーの重大な欠陥の詳しい内容は、以下の記事に紹介されています。

 「1Password」や「LastPass」など9つの人気パスワードマネージャーに情報漏えいのリスクがあると報じられる - GIGAZINE
 http://gigazine.net/news/20170302-9-password-manager-leaking-secret/


この記事によると、ドイツのセキュリティ研究者が、Google Playで人気の高いパスワードマネージャーアプリを調査した結果、重大な脆弱性(欠陥)があり、ユーザーIDやパスワードといった認証情報を漏らしてしまう可能性があることを発見しています。

調査したのは、Google Playで人気の高い9つのパスワードマネージャーアプリ

「LastPass」「Keeper」「1Password」「My Passwords」「Dashlane Password Manager」「Password Manager」「F-Secure KEY」「Keepsafe」「Avast Passwords」

テスト結果、9つのアプリで合計26件の脆弱性(欠陥)を発見し、それぞれ1つ以上の脆弱性を持つことが明らかになったそうです。


■Web版のパスワード管理ツールにも欠陥や不備

なお、2014年の下記の記事によると、米カリフォルニア大学バークレー校の研究チームが、Web版の「LastPass」「RoboForm」などのパスワード管理ツールに潜む危険性を指摘しています。

 Web版のパスワード管理ツールに潜む危険性、研究者が指摘 - CIOニュース
 http://itpro.nikkeibp.co.jp/atcl/idg/14/481709/071700003/

調査したパスワード管理ツールは、「LastPass」「RoboForm」「my1login」「PasswordBox」「NeedMyPassword」の5種類。いずれも人気のあるサービスです。

研究チームによると、調査した5種類のツールすべてで欠陥や不備が見つかったそうです。全体として、あまりに多様な脆弱性が見つかったことから、パスワード管理ツールがセキュリティに関して失策を犯していると研究チームは捉えているようです。




■ 安全なパスワード管理方法とは


長年、どうやってパスワードを管理するか考えてきて、今、私が実施している方法を以下に紹介します。なお、これでも100%安全とは言えませんが、少しでも参考になれば幸いです。


 (1) パスワードを紙のメモに記録して保管

 (2) パスワードをデータにまとめ暗号化して保管

 (3) 暗号化したパスワードのデータをオンラインストレージまたはUSB(暗号化機能付き)に保管



詳しい内容を以下に説明します。


■(1) パスワードを紙のメモに記録

IDとパスワードを紙のメモに記載して保管します。この方法、紛失のリスクもあり、最初は不安でしたが、実行してみると簡単で便利な方法です。

ただし、紛失したときの危険性を考え、IDとパスワードを別々の紙に分けて管理すると安全です。もし、ID・パスワードを一緒に記載する場合は、パスワードの書き方を工夫し、類推されないように注意することが必要ですね。

私は、大事な一部のID・パスワードを小型のノート(電話帳みたいなもの)に記載して、手帳と共に常時、持っています。


■(2) パスワードをデータにまとめ暗号化

IDとパスワードを記載したデータを「パスワード付きの電子ファイル」として保持します。

例えば、Microsoftの表計算ソフト(Excel)で作成し、読み込み時のパスワードを設定すると暗号化され安全になります。詳しくは以下を参照ください。

 Officeのパスワード使っていますか? パスワードで暗号化すれば安全に
 http://lifesecurityup.blogspot.com/2015/09/office201320102007.html


また、テキスト形式で作成し、それを暗号化Zipで圧縮&暗号化しても良いです。暗号化Zipには、フリーソフト「7-Zip」が便利です(《補足1》参照)。


■(3) 暗号化したパスワードのデータをオンラインストレージまたはUSB(暗号化機能付き)に保管

私は、Dropboxを長年愛用しているので、Dropboxに保管していますが、セキュリティ上、不安な方は「暗号化機能付きのUSBメモリ」でも良いです。

なお、オンラインストレージを利用する場合、2段階認証にして不正アクセスを防ぐことが大事です。詳しくは《補足2》を参照してください。



《補足1》暗号化圧縮形式Zip対応 フリーソフト「7-Zip」の使い方

このソフトは、圧縮・解凍ソフトでは代表的な人気のあるソフトです。専用の形式「7zフォーマット」に対応するほか、各種の圧縮・解凍形式をサポートしています。また、強力な「256AES 暗号化機能」、自己解凍形式、ファイルの分割・結合、テストの実施、お気に入り機能などをサポートしています。

 ダウンロード : http://sevenzip.sourceforge.jp/

7-zipのダウンロードは、32ビット版と64ビット版が用意されているので、環境に合わせてダウンロードしましょう。ちなみに、「32ビットか64ビットか?」は、OSの違いで判断します。

インストール後、7zFM(7zFM.exe)をダブルクリックして起動します。”2画面分割”で使うと操作が便利になります。

なお、USBでも使えるポータブルタイプの「7-Zip Portable」もあります。私は、このポータブルタイプをDropboxのフォルダーに保管して利用しています。

 7-Zip Portable: http://portableapps.com/apps/utilities/7-zip_portable


《補足2》オンラインストレージサービスの不正アクセス対策に、2段階認証を活用

オンラインストレージサービスの中には、自分の大切なデータがたくさんあり、不正アクセスされ悪用されると、とても危険です。

2段階認証を有効にすると、ログインに際し、パスワードに加えてセキュリティコードの入力が必要になり、安全になります。

次のブログに、Google、Dropbox、Microsoftの”2段階認証”の方法をまとめていますので、参考にして下さい。

 Googleの”2段階認証”について
 http://lifesecurityup.blogspot.com/2014/09/500google2.html

 Dropboxの”2段階認証”について
 http://lifesecurityup.blogspot.com/2014/10/dropboxid.html

 Microsoftの”2段階認証”について
 http://lifesecurityup.blogspot.jp/2015/08/microsoft2.html