Graynet-Security-Password





まず、IDとパスワードを知る。

IDとは、情報機器やサービスの提供者が、
1人1人の利用者を区別するために割り振るもののことを言います。
ほぼ全てのサービスでは、IDはパスワードと組み合わせて使用されます。

TwitterLINEにログインする時もそうですね。
というか、IDだけで使えるサービスなんてあったっけ?

一方パスワードとは、IDを割り振られた本人だけが知る情報であり、
本人確認のために用いられます。
また、「自分できちんと登録した」と証明する為の手段でもあります。

そして主にこの二つの情報、仕組みによって、
第三者による、サービスの不正利用を防止しています。

残念ながら、不正利用を完全に防止しているわけじゃないけど......

これらを盗み見られたりなどすると、なりすましなどが起きてしまいます!

これが原因で、自身の印象などが意図せず変わっちゃうかもしれないので、
パスワードやIDの管理には要注意!

なりすましなどをされて嫌な思いをしないために、
パスワードやIDの管理のは要注意と言いましたが、
不正利用を防ぐ有効な手段として、

紙に書き留めない!

PCに保存しない!

人に教えない!

の3つがあります。
「パスワードをこまめに変更」というのも言われてきましたが、
だんだんっ面倒になってきて、最終的には、
「パスワードは変えるが、前と同じ。」だったり、
「簡単なもの」にしてしまう人が多いため、
あまりオススメされなくなってきています。

ただ、毎回しっかりとしたものにできるなら、かなり有効な手段となるでしょう。
(Graynetチームが作成)

次に、二段階認証。

最初に、ID、パスワードでの認証をし、その後、スマートフォンなどに届いた認証コードやワンタイムパスワードで認証する。
※二段階認証の流れはこんな感じ

二段階認証とは、IDやパスワードだけでなく、
本人確認も行うことで、
より安全にサービスを利用するためのシステムの事を言います。
最近、とあるサービスで騒がれたように、
二段階認証は不正利用の防止に大いに役立つのです。

また、一度限り有効なパスワードを生成する仕組みの事を
「トークン」と言います。
トークンはトークンでも、様々なトークンが存在します。
○○トークンどんなもの?
ソフトウェアトークンPCやスマホに専用のアプリをインストールして利用する。
ハードウェアトークンカード・キーホルダー型の機器にパスワードを表示する。
SMSを使ってワンタイムパスワードを送信するものもあります。
電話番号を登録し、
電話で自動音声によるワンタイムパスワードの確認ができるものも。

二段階認証の中で取得した(ワンタイム)パスワードの共通点は、
その名の通り、一度使用するとそのパスワードは無効になることです。
ですから使用後、
そのパスワードを第三者に漏らしてしまっても安心というわけです。

そんで、二要素認証・多要素認証。

二段階認証とは別に、「二要素認証・多要素認証」と呼ばれるものがあります。
IDやパスワードに加えて、
「指紋」や「顔」「網膜」などの生体情報を使ったりします。

両者の違う点は、「同じ認証方法」が有るか無いかってとこにあるね。

例えば、
「IDとパスワード」+「IDとパスワード」→「二段階認証」で
「IDとパスワード」+「IDとパスワード以外(生体情報など)」→「二要素認証・多要素認証」と言います。

「二」つ(「多」く)の「要素」で「認証」するわけですから、
これは当たり前っちゃあ当たり前。

また、「二」つ(「多」く)の「要素」で「認証」するわけですから、
二段階認証よりも二要素認証・多要素認証の方が安全性は高くなっています。
混同しないように気をつけましょう。

そして、暗号化通信へ...


※https://の「s」は、「セキュア(Secure・安全な)」を表している。

皆さん!今何を見ているのか知られたくない!
って思う時ありませんか!?
そんな皆さんの願いを叶えてくれるのが、
「SSL」と「TLS」!

「SSL」は「Security Sockets Layer」、
「TLS」は「Transport Layer Security」の略で、
ブラウザとサーバー間の通信を暗号化し、
第三者に送受信している内容を盗み見られたり、
改ざんされたりすることを防ぐ仕組みのことを指します。
これらが導入されているWebページのURLは、
「https://......」のようになっています。

また、Google Chromeや、Internet Explorerなど各種ブラウザでは、
SSLが導入されているページを閲覧する際、
アドレスバー付近にカギマークが表示され、
それをクリックすることで、
SSLサーバの証明書を確認することができます。

認証レベル1
(ドメイン認証)		認証レベル2
(企業認証)		認証レベル3
(EV認証)
対象者個人・法人法人法人
信頼性低いっ!中くらい。まあまあ。高けえ!
サイトの用途キャンペーンサイト
問い合わせフォーム等		会員制サイト
Amazonや楽天などの
通販サイト等		会員制サイト
通販サイト
企業サイト等
コスト低い(990円~)まあまあ(42350円~)けっこう(54450円~)
その他審査スピードが速い企業の実在性を証明できるアドレスバーなどの表示が変わり、
信頼性がグンと上がる

さくらのSSLより作成

SSLサーバの証明書?何ソレ??

よくぞ聞いてくれた!説明しよう!

その証明書は、
ウェブサイト運営者の
身元についての審査に基づいた保証レベルによって、
種類やコストが異なってくるんだ。
そのレベルが上がるにつれて、審査も厳格になり、
証明書の発行までに時間がかかるようになってしまう。
認証レベルは3が最大で、
認証されれば、アドレスバーの色が緑色に変化したりと、
そのサイトの安全性をアピールすることができるぞ!
だけど、証明書には有効期限がある。
認証レベル3だったら、
有効期限が1年で、価格が10万円をこえるものもあるんだ。

とても支払える金額じゃない......。

まとめ

  • パスワードとID、この2つの情報、仕組みによって、第三者による、サービスの不正利用を防止している。(完全に。ではないが。)
  • 不正利用を防ぐ有効な手段として、「紙に書き留めない・PCに保存しない・人に教えない」の3つがある。 「パスワードをこまめに変更」というのも言われてきたが、変えていくと最終的には、以前と同じものや、簡単なものにしてしまう人が多いため、あまりオススメされなくなってきている。
  • 「トークン」...一度限り有効なパスワードを生成する仕組みの事。
  • 「二段階認証」...IDやパスワードだけでなく、本人確認も行うことで、より安全にサービスを利用するためのシステムの事。不正利用の防止に大いに役立つ。
  • 「二要素認証・多要素認証」...異なる要素を用いて認証を行う。
  • 二段階認証よりも二要素認証・多要素認証の方が安全性は高い。
  • 「SSL」と「TLS」...ブラウザとサーバー間の通信を暗号化し、第三者に送受信している内容を盗み見られたり、改ざんされたりすることを防ぐ仕組みのことを指す。

次は「未来の世界」の「Society5.0」を学ぶのがオススメ!


詐欺を知る

現代の世界へ