パスワードの使い回し
パスワードの使い回し とは何ですか?
パスワードの使い回し複数のアカウントやサービスで同じパスワードを使う習慣で、1 つの漏えいから多数のアカウントが侵害される原因になる。
パスワードの使い回しとは、個人メール、業務システム、ネットバンキング、その他多数のサービスに同じパスワード(あるいは末尾だけ変えた程度のもの)を設定する状態を指します。いずれかのサービスが侵害されてパスワードが解読・流出すると、攻撃者はその認証情報を他サイトでも試すクレデンシャルスタッフィングを行い、追加のアカウントを乗っ取れます。各種調査やインシデント報告は一貫して、使い回しがパスワード関連侵害を増幅する最大の要因だと示しています。対策としては、パスワードマネージャによるサイトごとの一意なパスワード、漏えいパスワードリストとの照合の義務化、多要素認証、そして共有秘密自体を排除するパスキーへの段階的移行があります。
● 例
- 01
あるフォーラムから漏れたパスワードが、同じユーザーのメールやクラウドストレージへの侵入に使われる。
- 02
従業員が個人で使っているパスワードを社内 SSO アカウントでも使う。
● よくある質問
パスワードの使い回し とは何ですか?
複数のアカウントやサービスで同じパスワードを使う習慣で、1 つの漏えいから多数のアカウントが侵害される原因になる。 サイバーセキュリティの ID とアクセス カテゴリに属します。
パスワードの使い回し とはどういう意味ですか?
複数のアカウントやサービスで同じパスワードを使う習慣で、1 つの漏えいから多数のアカウントが侵害される原因になる。
パスワードの使い回し はどのように機能しますか?
パスワードの使い回しとは、個人メール、業務システム、ネットバンキング、その他多数のサービスに同じパスワード(あるいは末尾だけ変えた程度のもの)を設定する状態を指します。いずれかのサービスが侵害されてパスワードが解読・流出すると、攻撃者はその認証情報を他サイトでも試すクレデンシャルスタッフィングを行い、追加のアカウントを乗っ取れます。各種調査やインシデント報告は一貫して、使い回しがパスワード関連侵害を増幅する最大の要因だと示しています。対策としては、パスワードマネージャによるサイトごとの一意なパスワード、漏えいパスワードリストとの照合の義務化、多要素認証、そして共有秘密自体を排除するパスキーへの段階的移行があります。
パスワードの使い回し からどのように防御しますか?
パスワードの使い回し に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
パスワードの使い回し の別名は何ですか?
一般的な別名: パスワード再利用, アカウント間でのパスワード共用。
● 関連用語
- attacks№ 232
クレデンシャルスタッフィング
ある漏えいから得たユーザー名・パスワードの組合せを他サービスで自動再生し、パスワード使い回しを悪用してアカウントを乗っ取る攻撃。
- identity-access№ 230
クレデンシャル収集
ユーザー名・パスワード・トークンなど認証情報を大量に集める行為で、通常はその後のアカウント乗っ取りや売買に使われる。
- attacks№ 800
パスワードスプレー攻撃
少数のよく使われるパスワードを多数のアカウントに対して低頻度で試し、ロックアウトやレート制限を回避する攻撃。
- identity-access№ 793
パスキー (Passkey)
フィッシング耐性のある FIDO2/WebAuthn 資格情報。端末に紐付くか同期可能な非対称鍵ペアで、パスワードを暗号学的チャレンジ-レスポンスに置き換える。
- identity-access№ 797
パスワードマネージャー
強力かつ一意な資格情報を生成・保管・自動入力するアプリケーション。マスターパスフレーズで保護され、近年は passkey との併用も進んでいる。