Previous  Index  Next


2016 年 11 月 20 日




anchor

Maxthon
(Freeware)
OS10.8Mountain Lion対応 OS10.9Mavericks対応 OS10.10Yosemite対応
OS10.11El Capitan対応 OS10.12Sierra対応

独自のパスワードマネージャーとマウス・トラックパッドジェスチャー設定を組み込んだフリーウエアWebブラウザ。

作者サイトの説明を借りるなら…
ブラウザとは何ぞや…Webサイトをサーフィングしたり、ビデオを観たり、オンラインショッピングを楽しんだり…
MaxthonはワンボタンでWebコンテンツをキャプチャしたり、読んで整理してできるブラウザ…

とのこと。

さらにワンボタンで登録でき整理も簡単なブックマーク、OSのキーチェーンに依存しない独自のパスワードマネージャー内蔵、そして一番の呼び物はマウスクリックやタップをしないでジェスチャーだけでかなりの操作をできる手放し運転のような操作性の面白さがこのブラウザの特徴だと思う。

動きも軽いし、エンジンはWebkitのようなのでSafariとも親和性はあると思う。





Maxthonを起動したらチュートリアルページがホームページとして開く
このブラウザの最大の特徴はトラックパッド・マウスのジェスチャーで大部分の操作ができることだ
例えが2本指で下にスワイプして右にスワイプすると
タブを閉じる操作ができるというような説明が表示される




最初に新規タブを開くとこのブラウザをデフォルトブラウザにするかどうか聞いてくる
この設定は後からでもできるのでキャンセルでも構わない




コマンドキー+カンマキーで開く設定画面はブラウザのタブとして表示される
ここでも最初に開くページ(ホームページ)設定、新規タブのページ内容、デフォルトブラウザ設定、
ダウンロード先、ブックマークバー表示、履歴のクリアなどが操作できる
新規タブで検索エンジンの選択画面も選べるし、デフォルト検索エンジンをここで変更もできる




また各Webサイトのアカウントログインパスワードなどを
集中管理できるパスワードマネージャーも内蔵している
これはOS XのKeyChainとはまた別に独自管理ができる




そしてもう一つのMaxthonの大きな特徴がこのジェスチャーの設定
上のチェックで全部をまとめて有効化・無効化ができる




マウス、トラックパッドそれぞれにジェスチャーにコマンドを割り当てることができる
トラックパッド設定は2本指スワイプの動きに割り当てる
隣のタブ移動や戻る・進む、タブを閉じる・閉じたタブを再開するなど
豊富なコマンドが用意されている




そしてブックマークの登録はコマンド+Dキー以外にツールバーの星マークのクリックでもできる
ここで登録だけでなく削除、リネームなどが可能だ




ブックマークメニューからブックマーク全体を見る
ブックマークはこのようにフォルダ化して整理することができる




フォルダはブックマークバーからもプルダウンで開けるのはWebkitブラウザの標準通り




そしてWebサイトをオフラインでも閲覧できるように保存することもできる
この時にテキスト(HTML形式)とWebアーカイブ形式が選択できるので
元のページのままにローカルに再現することもできるのもWebkitの仕様通り










2016 年 11 月 19 日




anchor

AppleIDを乗っ取られかけた件で二段階認証を導入してセキュリティは確保されたが、登録メールのYahooメールがロックされてしまった…時間が解決してくれたのさ…

前回こちらの記事で取り上げたが、ちょっとした私の油断のせいでAppleIDをリセットされてしまう&Yahooメールのパスワードを辞書攻撃か何かで破られてしまった…という問題が起きたことを書いた。

AppleIDの乗っ取り攻撃を受けた〜パスワードリセットで撃退したと思ったら今度は登録メールアドレスの乗っ取り攻撃を受けた〜なんとか撃退できたっぽいけど不覚をとったかな

AppleIDはやはりアカウント名としてメインの登録メールアドレスが露出しているのが問題だ。

乗っ取りの手順としては
1)まずアカウント登録メールのパスワードを辞書攻撃ないしは総当り攻撃で破っておく
2)ログオンできたらAppleIDを「パスワードを忘れたら」の項目から入ってリセットをかける。
3)リセットがかかったら登録メールに数秒で通知が来るので、通知をみたら間髪入れずにAppleIDを自分の作ったパスワードに勝手に変更してしまう…
4)これで本当のユーザを締め出してしまい、その間にカード情報を盗んだり、勝手に買い物をして高額ライセンス商品をどしどし購入してしまう…
5)本来のユーザが秘密の質問か何かでIDをもう一度リセットできる頃には、もうやりたい放題やって逃走…

この手順で乗っ取り悪用が可能だ。

Torなどのプロキシ経由で接続すれば、被害届を出しても乗っ取り犯の特定は困難だろうから泣き寝入りということになると思う。
今回私のケースでは、手を突っ込んできた中国人(なのか中国サーバーの愛用者なのか)が割と間抜けだったのでIDの悪用はなかったが、こういうことがないようにセキュリティの強化を図った。

1)YahooメールをAppleIDの登録から外すのが最大の対策だが、これはなぜか外せなかった
というより他のメールアドレスが登録に追加できなかったため削除できなかった
2)AppleID、Yahooメール共にパスワードの堅牢性を上げた
総当り、辞書攻撃共に困難な桁数・英数大文字小文字も混ぜた組み合わせでパスワードを作り直した
3)検証した結果YahooメールはやはりWebから接続に成功するとブラウザを閉じない限り永久にタイムアウトで強制ログオフされない仕様のようなので、何回かパスワードを変更してWebからの接続も排除した
4)AppleIDは第三者が勝手にリセットできないように二段階認証をかけた

1)は上記の通り他のメールアドレスで今でもアクティブなものを全部試したが「このアドレスは追加できません」というメッセージでAppleからはねられてしまった。

なぜなのかわからない。
フリーメールはGMailも含めて排除する方針なのかもしれない。
かといって会社のメールや携帯のキャリアメールを使う気にはなれなかったので、ここは諦めることにした。
ひょっとしたら今アクティブな個人メールは、みんな昔AppleID、ディベロッパーIDなどで使ってしまったのかもしれない。
同じメールアドレスを重複して登録はできないということなので、それに引っかかったのかも。
何年も前にお試しで作ったかもしれないが、もうそんなこと覚えていないし…アカウントを作ってパスワードを設定したらすべて一箇所にメモするかパスワードマネージャーで管理しろということなのかもしれないがさすがに10数年前の私にはそこまでの意識はなかったかも…

2)は桁数・文字種ともに大幅に増量したので総当りは不可能だと思う。
ただAppleIDの方はともかくYahooIDの方は何回リトライしてもロックがかかったりしないので、機械的に総当りは可能かもしれない。
そこでYahooに関しては重要な個人情報の送り先はすべて別のメールに振り分けた。ただAppleIDのリセット情報だけはYahooメールにも行ってしまう。
そこで3)の対策でYahooのパスワードを数回変更して現在ログインしている不正規ユーザをロックオフした。
そして4)のAppleIDの二段階認証で第三者が勝手にリセットボタンに触れないようにした。

AppleIDの認証法として「秘密の質問」という手もあるが、これは過去の経験からうまくいったためしがない。
秘密の質問を設定してメモしてもパスワードと同じように紛失するし、メモがあってもそのあとアカウント設定の仕様が変わって秘密の質問も変わっているとか答えをローマ字で書くのか日本語で書くのか忘れているとかで認証が蹴られたりと、結局うまくいかない。

二段階認証なら別のルートからワンタイムパスコードを毎回送る仕組みだから、漏洩しても影響がないし忘れることもない。
欠点としてはもう一つのデバイスをiPhoneにしたので、iPhoneが壊れた時には復元コードから復元しないといけないとか認証が煩わしくなることかな…滅多にないことだから気にしないことにしたが…





二段階認証とはとどのつまりパスワードを入力したら
その都度発行されるPIN番号を次に入力しないとログインもリセットもできないという仕組み




PIN番号は登録メールではなく指定のデバイスに直接送られるので
この時すでにメールアドレスを乗っ取られていてもこれを破ることはできない
これで他人に勝手にIDをリセットされてしまうリスクは回避できる




これでセキュリティは確保されたかに見えたが別の問題が起きた
YahooメールがiPhone、Mac、自宅スパムフィルタサーバ共に
ロックオフされてしまい定期受信ができなくなってしまった
Webでログインすればしばらくはメールクライアントでも受信はできるが
しばらくするとまた認証失敗が出てブラウザ以外では
自動ログインができない状態になってしまった


問題のYahooメールだが何度かパスワードを変更したり、メールクライアントの設定にしくじってログオンに失敗したりしていたらロックオフを食らってしまった。

MacもiPhoneもSafariなどを起動してWebでログインすると、しばらくはメールクライアントでも受信できる。
これでロックオフが解除されたかと思ったら20〜30分後にはまた認証失敗で受信できなくなてしまう。
Webで再ログインし続けるしか受信方法がなくなってしまった。

IMAPメールがダメなのかと思いPOPメール設定も試してみたが、何をやっても同じ。
回線の種類も関係ないようだ。
自宅のサーバーも同じようにロックオフされて、解除してもしばらくしたらエラーを出している。

これはYahooのメールサービスの仕様らしく、ログオンのタイムアウトはないがパスワードの変更を何回かやるとクライアントやデバイスからの接続認証に制限をかける仕組みのようだ。

この問題が発覚して本日で10日目。
やっとロックオフが解除されたのをGyazMailのPOP設定で確認してIMAPメールも復活させた。
iPhoneも復活したのでこれで問題は概ね解決できたと思う…Yahooメールをアカウントから排除できなかった点を除けば…



2016 年 11 月 13 日




anchor

Astropad
(Freeware/Freeware for iPhone, Shareware for iPad)
OS10.9Mavericks対応 OS10.10Yosemite対応 OS10.11El Capitan対応
OS10.12Sierra対応

iPhone、iPadをMac対応の液晶ペンタブレットに簡単に変えてしまうアプリ。

基本はMacとiPhoneかiPadのデバイスにそれぞれのアプリをインストールして認証するだけでいい。
よくあるiPhoneやiPadでMacをリモートするアプリと決定的に違うのは、元Appleのエンジニアが開発したLIQUIDという描画技術をベースにしていること。
スタイラスペンの反応はリモートアプリのそれではなく、まさにペンタブレットの反応速度を実現したと作者サイトに説明されている。
さらに描画も一般的なリモートアプリの圧縮されて劣化した画像より再現度が高く、Retina対応でこそ真価を発揮するとのこと。
AirPlayの3倍近い反応速度を実現しているという。
それでいて低消費電力といいことづくめのようだ。

それを実現したのは元Appleのエンジニア達で、彼らはAppleではQuickTimeとOS Xの開発を担当していたとのこと。
目的はあくまでMacのリモートではなくiPhone、iPadを画像アプリの操作盤にしてしまうことだから、描画の綺麗さと反応速度には特にこだわりがあったようだ。

画像ソフトは何でもいい。
PhotoshopでもいいしGIMPでもいいし、その他のフリーソフトでも何でも手に馴染んだものを使える。
それぞれのお絵描きアプリはそれぞれの操作体系をもっているから、Macのどれくらいの範囲をiPhoneなどに表示するかの調整はドラッグで細かく調整できる。

アプリさえ入れればあとは同一セグメントの無線LANかUSBケーブルがあるだけですぐに使える。
特別なデバイスも必要ない。
iPhoneアプリ、MacアプリはフリーウエアでiPadアプリだけが有料アプリとなるが、実際に絵を描くのに使うにはRetinaのiPadの方が使いやすいだろう。
使い勝手はフリーウエアのiPhone版でお試しして、気に入ったらiPad版を購入せよということなのだと思う。





アプリの成り立ちからだと思うがDogCowのシンボルをアイコンにしたり
起動画面もこの通りとメッセージ性の強いアプリだ




スプラッシュについたセットアップボタンでデバイスとのマッチングの設定を開始する




マッチングの設定を開始するにあたってiPhoneかiPadなど
組み合わせたいデバイスにもアプリをダウンロードするよう促される




iPhone側のアプリを起動するとこちらにもセットアップボタンがある




両方をセットアップ開始の状態にするとマッチングを許可するか認証を求められる




マッチングに成功するとメーリングリスト登録を求められるがこれはスキップできる
現在のバージョンはベータテストとのことなので将来本格的なシェアウエアに移行するのかもしれない




アプリが接続するとどれくらいの範囲をiPhone側に表示するかの設定が現れる
ドラッグで位置や大きさなど領域を自由に設定できる




この時のiPhone側の画面
右上のボタンは画面の切り替えボタン




コマンドボタンを押すと画面で装飾キーが操作できる
ここを感圧式ペンで操作すれば画面の操作ができるだけでなく
タッチなども伝送されてお絵描きに最適ということになる




操作する領域の範囲はiPhone側からも微調整できる
右上のエリアボタンでこの画面になる




ブルートゥーススタイラスペンとのマッチングはここから選択して設定する
AppleペンシルだけでなくWACOMなど各メーカーの画面が用意されている




操作される側のお絵描きアプリは何でもいい
作例ではPaintbrushを使っているが代表的なお絵描きソフトも問題なく使える
なお絵が下手なのはAstropadのせいでもPaintbrushのせいでもない
こういうアプリを紹介する時いつもせめて自分に画才があればと思う




画像:From http://astropad.com/
自分の画才の無さをぼやいていても始まらないので
作者サイトより借りてきた概念図でお茶を濁す
こういう感じでiPad、iPhoneをペンタブレットにして
両方の画面を確認しながらお絵かきができる




接続が切れたらMacを探している画面に変わる
USB、Wi-Fiの接続で自動・手動で接続できる




Mac側のアプリはバックグラウンドで動作して表示されないが
アクティブにするとこのように領域設定画面になる
ドラッグでiOSデバイス側に渡す画像の範囲を指定できる
メニューから設定画面も呼び出せる




設定画面でキーでアクションやフィルターの切り替えできる設定が用意されている
描画ソフトのメニューの操作はペンタブからやると表示領域を大きくしないといけないので
キー操作でさっと切り替えできたら能率が上がる




ディスプレイの表示の設定はここから
Wi-Fi接続の認証キャッシュをクリアすることもできる




ズームの設定はMac側からもワンクリックでできる
細かいところを描き込みたい時にサッと200%に領域を狭めてということが可能


2016 年 11 月 12 日




anchor

出先のカフェなどで無線LAN通信をVPNを使って安全につなぐための設定〜トラフィックに要注意

最近はあまり聞かなくなったけど、ノマドとかいってスタバとかでMac bookを開いて仕事しているのが一頃はトレンドだったらしい。
あの人たちはどこ行ってしまったのかしらないが…

そんなことはともかく出先のマックとかホテルとかでオープンなWi-Fiサービスで接続することがあると思う。
そういう時にはOpenVPNなどのVPNサービスを使ったほうが良い。
あるいは自宅でVPNサーバを立てているなら、いっそ自宅につないでそこからWebにアクセスしたほうが何かと安全だ。

VPNを使わずにむき出しで公衆無線LANに接続するとネットワーク内でMACアドレスなどがばれてしまうことがある。
MACアドレスが割れるとヤサが割れるという話が一時期あった。
そういう辞書サービスは現存する。

住所とかの個人情報を抜かれたくないならVPNを利用すべきだ。
VPNの利用法についてはいろいろなところで解説されている。

Macで自宅VPN鯖を上げる手順についてはこちらのアプリの項目や以下のTips項目でも解説した。
VPN Activator

WiMAX導入でVPNが便利に使えるようになった〜出先から自宅Mac/PCをリモート、ファイル操作

私個人はセキュリティのためというよりも遠隔から自宅サーバーを操作したいためにVPNを立てていたのだが、これがあれば確かに安全な接続が可能になる。

ただしクライアント側のMacBook Proなどで出先でVPNを使う時には多少設定に注意が必要だ。





VPNの詳細設定に入る
システム環境設定ネットワークに入って
出先で使う可能性のあるVPN項目の詳細ボタンをクリック




オプション項目の中の全てのトラフィックをVPN接続経由で送信にチェックを入れる
これでVPNサーバーとのセッションだけでなくWANとの通信全てがVPNで暗号化送信される


このチェックが外れていると自宅VPNやオープンVPNサービスと通信している以外のWebを見たりメールしたりの通信はVPNを通らないで、つまり暗号化されないで直接無線LANルータへ送信される。
自前のWi-Fiルータを持ち歩いているならこちらの設定の方が高速かもしれない。

しかしオープンな無線LAN環境の場合は自分の通信はすべてVPNで秘匿したほうが良いと思う。
その場合はこちらにチェックを入れる。

このチェックが入っていると一連の通信中にVPNに切り替えた時に通信エラーが出るかもしれない。
入っていない場合は切り替え後も通信中のセッションはその前のオープンな経路で送信され続けるはずなので、通信エラーで失敗ということはなくなる。
どちらもそれぞれメリットがあるから、通信する場所やケースバイケースで選択したら良いと思う。


anchor

FlagSwitcher
(Freeware)
OS10.8Mountain Lion対応 OS10.9Mavericks対応 OS10.10Yosemite対応
OS10.11El Capitan対応 OS10.12Sierra対応

キーボードレイアウト(入力アシスタント)が今何語に切り替わったかを画面に大きな国旗のイメージで表示してくれるメニューバーアプリ。

作者さんはロシア人のようなので、もともとはローマ文字とキリル文字を切り替えて使わないといけないキリル文字圏の人々向けのアプリということらしいが、今かな入力になっているか英数入力になっているかをIMのメニューバーアイコンだけでは見づらいと感じている老眼気味の人にも嬉しいアプリではないかと思う。

装飾キーでローマ字、キリル文字などを切り替えるキーマッピングを使用している人もあるのか、Shiftキー、Optionキー、コマンドキーなどを押すたびに国旗が出てくるのでそれが便利という人と煩わしいという人に意見は分かれるかもしれない。
でもいちいちメニューバーの細かいアイコンを確認しなくてもいいのはやはりMeritではないかと思う。

国旗はキーボード設定の入力ソースに用意されているものはすべて表示できる。
ということはかなりの数の国旗が表示できる。
あなたがクロアチア人でも安心である。





FlagSwitcherの表示はこの通りスクリーンに大きく半透明に国旗で表示される
キーボードのレイアウトが切り替わるたびに表示される老眼に優しい設計




IMがかな(日本語カナローマ字入力)に切り替わった時の表示




大抵の日本人は日本語と英数入力ぐらいしか使わないと思うが
あなたがリトアリニア語のスペシャリストだとしても安心だ
システム環境設定キーボード設定に入り入力ソースに入ってリスト下の
「+」ボタンをクリックすることで各国語のキーボードレイアウトを追加できる
ここで国旗が用意されているレイアウトに関してはFlagSwitcherで表示できる




これは国旗のお勉強にもなってよい
これはどこの国の国旗かご存じだろうか?




FlagSwitcherはメニューバーアプリとして常駐する
メニューバーアイコンから終了と設定画面の呼び出しができる




設定画面はとてもシンプルだ
ログイン時起動する設定とメニューバーアイコンを非表示にする設定の二つだけ


2016 年 11 月 3 日




anchor

AppleIDの乗っ取り攻撃を受けた〜パスワードリセットで撃退したと思ったら今度は登録メールアドレスの乗っ取り攻撃を受けた〜なんとか撃退できたっぽいけど不覚をとったかな

表題の通り

AppleIDを乗っ取られかけた

ことの次第は昨日夕方移動中に、急にiPhoneが
「iCloudのパスワードを再入力せよ」
「iMessageのパスワードを再入力せよ」
「FaceTimeのパスワードを再入力せよ」

というポップアップを出し始め、パスワードを何回入力してもこのポプアップが消えなくなったのが発端。

パスワードの設定が壊れたのかと思い、3回以上入力してしまったのでiPhoneからパスワードリセットをかけた。 それで復旧したのだが、メールの履歴を見るとすでに私よりも前に一回パスワードリセットリクエストとリセット完了メールが届いているのに気がついた。

認証設定が壊れたとかのソフトの不具合ではなく、明確に私以外の誰かによってAppleIDのパスワードがリセットされたということだ。

ただリセットだけでIDを乗っ取ることができるわけではないので、単なる嫌がらせかもしれないと思い直したり…

と、そうこうしているうちにその2時間後と明け方にまたiPhoneがパスワードを再入力せよと言い始め、メールクライアントにはリセットリクエストが来たため明確な意図を持ってやっていると判断した。

パスワードは更に強固なものにして前々からやらなければと思っていた2段階認証の設定を実施することにした。





キャプチャを撮るのを忘れていたのだがiPhoneがiCloud関連のパスワードを
入力せよとしつこくポップアップを出すので確認したところやはり
MacのiTunes StoreやApp Storeもログインできなくなっていた




履歴を見たところ私がパスワードリセットをかける数分前に
別の何者かによってAppleIDのパスワードリセットがすでにかけられていた




そこで相手のパスワードを無効にするためにパスワードの変更と二段階認証の設定をかけた
パスワードリセットはこちらのサイトから またログインできたら
こちらのID管理ページからパスワードの変更と二段階認証の設定ができる




セキュリティの質問は結局正解が答えられないため役に立ったためしがない
しかしやはりこれも設定が求められる




今回何度か立て続けにIDの変更を行ったために3日間のブロックアウトが
かかって二段階認証の設定は待たされることになってしまった
今回のようなことを防ぐために是非ともこの設定はやっておきたい…
と前々から思っていたのだが伸ばし伸ばしにしているうちに自分が被害者になってしまうとは…




AppleIDを盗まれたとは思えないのだが攻撃を受けたのは事実なので
App StoreやiTunes Storeの購入履歴のページ、クレジットカードの購入履歴などを一応すべて確認した
特におかしな履歴は残っていなかったがここで高額な請求が
発生していることに気がつくというパターンもあり得そうだ


これで一旦は落ち着くかと思われたが、今度はなんとこのAppleIDのアカウント名に使っていたメールサービスから「普段使われていない環境からログインがあった」という通知メールが来て驚愕。

どうやらこれが本筋の攻撃のようで、メールのパスワードが破られてしまいそのログインをした上でまたAppleIDをリセットして本格的にIDを乗っ取って悪用するというのが目的だったようだ。





今朝方今度はAppleIDに使っているメールアドレスに
「普段使われていない環境からログイン」の通知が来た
IPアドレスには燦然と「中華人民共和国」の国名が…
もちろん間髪を入れずにすぐにメールサービスにログインしてパスワードを変更した
どうやらこれが攻撃の本筋だったらしい




ちなみに相手のIPをwhoisしたところ中国のチャイナネット江蘇省ネットワークのプロバイダ名
プロバイダネットワークなのでプロクシかどうかまではわからないが
あまり隠していないので個人からのアクセスかも


中国からのアクセスはほぼ確実なので、嫌がらせとかではなく明確なID乗っ取りの意図があったことも明確だ。

認証に使っていたyahoo.mailもパスワードを強度を上げて変更したことは言うまでもない。
一応しばらく様子を見ていたが、その後おかしなログインはないので多分クリアできたと思う。

今回の幾つかの問題点は、以下の通り

1)AppleIDに二段階認証を設定していなかった
今回の最大の私のポカはこれだと思う。
認証用のメールのセキュリティがスカスカだろうが、本丸のAppleIDが他人から操作されないようにしておけば問題ない。
ところが「近いうちにやっておかなければ…」と思いながら先延ばしにしていた私が一番悪い。
この設定ができるまではしばらくすべてのアカウントを厳重監視しないといけない。

2)AppleIDのリセット通知メールにyahoo.mailを使っていた
その次に重大なポカはyahoo.mailなんかでAppleIDを作ってしまったという問題だと思う。
yahoo.mailの何が問題かというとまずログオンしたらタイムアウトしないというセキュリティの低さが最大の問題だ。
一度ログオンに成功したら、そのままブラウザを閉じないで潜伏接続して時間が経ってから悪さすれば気がついて対策する頃にはいろいろ悪さできてしまう。
Gmailにせよ他のメールサービスは大体数分ないし数十分何も操作しないでおいておくとロックアウトされてしまうがyahooにはそういう仕組みがない。

過去にも個人情報を漏洩してくれた実績もあるし、Yahooはとても信頼度は低い。

実はITMSサービスが始まった頃に、お試し気分で安直に作ってしまったIDとパスワードなのでこれが将来そんなに重要なアカウントになるとは思っていなかった。
何曲か買ってみてやっぱり気に入らないなら削除してしまえばいいやと思っていた。

ここのところ気になっていたけども、気になったらその時がセキュリティの更新時だということか。

3)パスワードの堅牢性が低かった

これも上記と同じ理由で、お試しなんだから絶対に忘れないパスワードということで割と安直なパスワードを設定していた。
さすがにパスワードの使い回しをするようなことはしていないが、特にメールのパスワードを破るのに成功した時点で、AppleIDをリセットして乗っ取ったメールから認証してAppleIDもいただきという流れだったのだろう。
今回悪用されなかったのは相手のクラッカーが割と手際が悪かったというラッキーな理由だけで、そうでなければやられていたと思う。
もちろん、AppleID、メールパスワード共に強度を上げて推測不可能な桁数に変更した。

この際yahoo.mailをやめて例えばGMailなどの別のメールをAppleIDのアカウント認証に変えようかと思ったが、そこはちょっと慎重になった。
AppleIDはもうiTunes Storeのログイン鍵だけでなく、AppleTVやその他色々な認証に使っているし、その認証の通知メールに他のメールを使って…といろいろ複雑な関係になっているので、簡単に変えるわけにもいかない。
とりあえずリセットされたらGMailや幾つか他のメールにも通知してすぐにわかるようには設定変更したが。


さらに不安は払拭しておこうと思い、AppleIDやメールだけでなく過去にお試しも含めて登録したことがある認証情報をすべて確認して変更できるところは変更した。


ここで思い出すのはパスワード定期変更オジサンの
「パスワードを90日ごとだろうが、定期変更することによってセキュリティが確保される可能性は全くゼロではない」
のたわごと。
こうして現実に攻撃を受けてパスワードを変更する羽目になると、メールクライアントやらスマホやらタブレットやら色々なデバイスの設定も一斉に変更しないといけないし、関連する認証サービスも設定変更と結構な手間で
「毎月変えればよろし」
とか簡単に言ってくれるな…というより本当に現実を知らない学者の戯言だと思う。

それより二段階認証などでパスワード認証を堅牢に守るほうがはるかに現実的だ。

パスワードの定期変更にまだ現実味があったのは、パスワードなんてメール設定の時ぐらいしか使わなかったような20年前の話だと思う。
今は色々なサービスの色々なクライアント、デバイスの認証が複雑に関わりあっているので90日ごとだろうが180日ごとだろうが定期変更は膨大な手間だ。
そして90日のような長い変更期間はほぼ意味がない。
定期変更を推奨するならワンタイムパスワードだ。

定期変更を推奨するからセキュリティは逆にモラルハザードで劣化するんだと思う。
今回は本当にそれを実感した。







Previous  Index  Next



site statistics



青木さやか