情報処理推進機構(IPA)は1日、2013年8月の呼びかけ「全てのインターネットサービスで異なるパスワードを!~多くのパスワードを安全に管理するための具体策~」を発表した。ここ最近発生している「パスワードリスト攻撃」への対策となるものだ。 「パスワードリスト攻撃」とは、何らかの方法で事前に入手したID/パスワードのリストを流用し、機械的な総当たりで、ネットサービスやウェブサイトにログインを試みる攻撃だ。同じパスワードを使い回す利用者は多く、あるサービスでもしもログインできた場合、他社のサービスでも同じID/パスワードでログインできる可能性が高い。こうして、さまざまなサービスで、総当たりの攻撃を繰り返し、最終的には金銭などを詐取しようとする。 IPAでは、「全てのインターネットサービスで異なるパスワードを設定すること」が基本的な対策であるとしたうえで、具体的な方法として、「自分が利用するID/パスワードを、リスト化して保持」「サービスの重要度によっては、ID/パスワードのリストを別々のファイルに分けて保持」という2つの方法を紹介している。 例として、表計算ソフトでID/パスワードのリストを作成し、パスワード付きでファイル保存するなど、「パスワード付きの電子ファイル」として保持することが推奨されている。また、インターネットバンキングのIDとパスワードなど、金銭に絡む重要なものについては、IDとパスワードを切り離して、別々のファイルで保持することが推奨されている。
