ログインパスワード、ちゃんと変えてます?

ドキッとした方、いつかやられますよ。
(ま、takechanもなんですけどね)

いきなりそんなことを言うのはなぜかというと、
こんな記事を見かけたわけですよ。

前述のWordfenceによると、Mossack Fonsecaはメールサーバーウェブと同じサーバーで管理しており、Revolution Sliderの脆弱性を突き、悪意のあるスクリプトをサーバー上にアップロードすることで、簡単に情報を抜き出せる状態にあったとのこと。さらには、ファイヤーウォールなど基本的な対応も行なわれておらず、セキュリティ対策の面ではなんともお粗末な管理だったことが判明しました。

ワイアードはさらに、Mossack Fonsecaのウェブサイトのログイン機能3年間も放置状態にあり、ユーザに対する定期的なパスワード変更を促すこともなかったことを指摘。バックエンドとして利用しているCMSのDrupalも3年以上前の穴だらけのバージョンを利用していたとのこと。Microsoft Outlookのログイン機能も、2009年から変えていなかったそうです。

モサック・フォンセカというのは例のパナマ文書が漏洩した法律事務所ですが、
一般ピーポーにも分かりやすいガバガバ加減です。w
そりゃダダ漏れしますってな。
takechanは海外に待避させておくほど潤沢な資産がないですが、
(本業のまずまずの給料とヤフオクとかでチマチマ稼ぐ小遣いだけですよん)
こうやって海外に隠してある資産からちゃんと日本の税金をとれば
消費税も上げなくて済むんでは、というのはあまりにも安直ですかね。
身近にお金の縁があまりにもないもんで、
そんな莫大な金はどこで入手できるのかさえ分からんです。

金の話は置いといて、セキュリティ対策は大切です。
パスワード、使い回してませんか?
takechanは、ぶっちゃけしてます。
めっちゃ複雑で長くしてあるけど、それでも使い回したら
漏れた時のリスクが何倍にもなるのは分かるんですけどね。
そんないくつも覚えてられないし、メモったら意味ないしね。

インターネットを使い始めた時に某サービスで
「あなたのパスワードはこれね」って指定されたやつに
ちょっとひねりを加えたやつをずっと使ってますね。
ただ、それだと7文字しかないので、最近の意識高めの
サイトだと、文字数が足りないだとか、記号や数字を入れろだの
いろいろ言われるので、もうちょっと複雑にした15文字くらいの
パスワードがあります。主にその2種類。
サイトによって大文字絡ませたりとかしてるけど「大」「小」で2種類です。
8文字以上だけど記号数字は使っちゃいけないとか
そういう変則的なのも、あるにはありますけどね。
そもそも、最近だとブラウザがパスワードを記憶してくれるから
このサイトのパスワードはこれ、ってあんまり意識しなかったりする。

ま、それでも形式上「自分以外は知らない」ものという原則を
崩さなければ一応、安全なわけです。
ところが、takechanは会社で某グループウェアの導入推進を
進めているわけですが、あまりにもパスワード管理の意識が
希薄な人が多いわけです。

・初期パスワード(メールアドレスそのまんま)に1文字足しただけ
・初期パスワードの最初を大文字にしただけ
・設定したパスワードを画面にテプラで貼る
・設定したパスワードを次の日に早速忘れる
・旧管理パスワードをそのまま使う

もうね、確実にいつか漏洩します。w
最後の「旧管理パスワード」というのは、グループウェアを
導入する前に無料版のアカウントを使ってたんですが、
その時のパスワードが全員統一で同じだったのです。
(この時点でまずガバガバなんですがね……)
会社支給のiPadもそのメール・パスワードで設定しているわけで、
その気になれば特定の社員の居場所を地図上に表示できてしまう。
うーむ、北もびっくりの管理社会ですね。
(当然、そんな気色悪いことされたくないので、takechanは会社用に
Apple IDを言われたとおりに作りつつ、支給されたiPadには
個人用と同じApple IDを関連づけてストーカー行為を回避w
実際に使う使わないじゃなくて、そういう行為が容認されてるのが許せない!)

使い方を説明しても、「そんなことわかっとるわ!」という人と、
「なんのこっちゃ分からん」という人と2極化してます。
ふつうに分かる人、いないかな…。

ま、10年近く変更していないパスワードがある人は、
そろそろ変更しといたほうがいいかもしれませんね。