ウェブマスターはどのようにしてウェブサイトのアカウントのセキュリティを確保し、問題に対して予防策を講じることができるでしょうか?

最近、ネット上で最も話題になっているのは、複数の大手ウェブサイトのパスワード漏洩事件だ。その中でも、最も主流でよく知られているのは、「Tianya」、「CSDN」、「Mop」の3つのウェブサイトだ。私の友人の多くがこのことで大きな被害を受けたと思います。私も被害者の一人です。今日、私はさまざまなウェブサイトに登録したパスワードを次々と変更しています。この記事を書いている時点では、私がより注意して頻繁に使用するすべてのウェブサイトのパスワードを変更しており、それから初めて安心してこのブログ記事を書くことができます。

ウェブサイトのデータベースを配布することは違法です

今日、私のブログに誰かがメッセージを残していて、XX ウェブサイトのデータベースを持っているので、必要なら彼の QQ を追加してくださいと書いてあるのを見つけました。まず、私はこれらのウェブサイトデータベースのユーザー情報を拡散し続けている人々を軽蔑します。また、法的認識なしに拡散し続けている人々にも親切に注意を促したいと思います。今日、テレビのニュース番組を見ていたら、たまたまこのデータベースユーザー情報漏洩事件について話されていました。ニュースでは、他人のユーザー情報を故意にネット上に拡散したり販売したりした場合、そのユーザー情報の量が500件を超えると、3年以下の有期懲役刑に処されると報じられており、現在、関連する法律や規制が存在している。

いくつかの有名なウェブサイトのデータベースからユーザーアカウントとパスワードが漏洩し、幅広い人々が影響を受け、大きな影響がありました。関係部門はすでにこのことに注意を払っており、悪意を持ってデータベースをネット上に拡散する者に対しては厳しく取り締まるだろうと私は信じています。たとえデータがあなたによって盗まれたものでなかったとしても、あなたは依然として相応の法的責任を負わなければなりません。ですので、そういった環境の中で、皆さんが楽しいと思って広めたり、うっかり法律を犯して模範となるようなことがないようにしていただければと思います。

重要度の異なるアカウントには異なるパスワードを設定する

これが最も重要な点だと思います。インターネット閲覧の利便性のため、すべてのウェブサイトに同じパスワードを設定する人もいます。パスワードがどれだけ複雑であっても、役に立たなくなります。例えば、今回の複数のウェブサイトのデータベース漏洩は、複雑なパスワードを設定するだけでは防ぐことはできません。したがって、重要度の異なるウェブサイト アカウントには異なるパスワードを設定するのが最善です。そうすることで、個々のウェブサイト アカウントのパスワードが漏洩しても、登録したほとんどのウェブサイト、特に個人の利益に直接影響を与える重要なウェブサイト アカウントには影響しません。私自身の状況を踏まえて、ウェブサイトアカウントの重要性を頭の中で 5 つのカテゴリーに分類しています。これらは「メールボックス」、「オンラインバンキング」、「重要」、「共通」、「通常」です。

オンラインアカウントの中で最も重要なアカウントは電子メールアカウントです。なぜなら、よく使われる電子メールアカウントが盗まれると、外部に登録されているアカウントも盗まれる可能性があるからです。電子メール経由でパスワードを取得することは、今日ではほとんどの Web サイトで使用されている一般的な方法だからです。ただし、現在ではすべての主要ウェブサイトが、アカウントを登録すれば電子メール サービスを提供しています。しかし、私は誰もが頻繁に使用するメールアドレスを 1 ～ 2 つだけ持つべきであり、セキュリティ要素が高い大規模な Web サイトが提供するメール サービスを使用するのが最善であると考えています。頻繁に使用する電子メール アカウントの場合は、簡単に解読されないように、「一意」かつ「複雑な」パスワードを設定するのが最適です。また、セキュリティの質問や携帯電話のバインドなど、さまざまなセキュリティ設定を行っておくと、盗難に遭ってもすぐに取り戻すことができます。

さらに重要なのは、Alipay、Tenpay、UnionPay などのオンライン バンキング アカウントやその他の Web サイト アカウントです。このタイプのアカウントのパスワードは別々に設定されており、他の Web サイトのパスワードと同じにはなりません。解読されないように複雑なパスワードを設定することをお勧めします。このようなセキュリティにより、外部に登録されたウェブサイトのパスワードが盗まれた場合でも、オンラインバンキングのアカウントには影響がなく、直接的な金銭的損失は発生しません。さらに、オンラインバンキングのウェブサイトのアカウントセキュリティは比較的良好で、簡単に漏洩することはありません。

さらに、QQ アカウント、Web サイトのバックエンド管理アカウント、サーバー アカウント、ドメイン名管理アカウントなども、私にとっては「重要な」アカウントと見なされます。これらのアカウントは直接的な金銭的損失を引き起こすことはありませんが、間接的な金銭的損失を引き起こし、オンライン バンキング アカウントのパスワードの盗難による損失よりも大きくなる場合があります。

あなたがウェブマスターで、ウェブサイトのドメイン名管理アカウントが盗まれ、ウェブサイトが解決できず正常に開けなくなると、一部の人気ウェブサイトに大きな影響を与えます。たとえば、Baidu の DNS は以前変更され、ウェブサイトに長時間アクセスできなくなり、大きな損失が発生しました。あるいは、サーバー アカウントが盗まれ、Web サイトのデータベースが悪意を持って削除され、ハッキングされ、非常に大きな影響が生じます。したがって、このタイプのアカウントでは、パスワードも複数セット別々に設定し、ハッカー ソフトウェアによって解読されないように、パスワードをより複雑に設定します。

さらに、頻繁にログインするウェブサイトのアカウントにも複数のパスワードを設定します。たとえば、Sina Weibo や、私が毎週ログインしているいくつかのブログ プラットフォームやウェブマスター フォーラムなどです。これらのアカウントは私にとって比較的重要なものです。盗まれたとしても、経済的な影響はそれほど大きくないかもしれません。しかし、誰かがあなたを騙してランダムな広告を送信した場合、それはあなたに何らかの悪影響を及ぼすでしょう。また、よく使用されるこれらの Web サイトのアカウントに自分の電子メール アドレスをバインドして、Web サイトのパスワードが盗まれた場合でも、少なくとも電子メールで取得できるようにしています。

最後に、めったにログインされない一部の Web サイトやフォーラムは、私の考えでは「通常の」アカウントと見なされます。設定されているパスワードは比較的単純であり、セキュリティ対策が講じられていない可能性があります。なぜなら、これらの場所のウェブサイトのアカウントがハッキングされたとしても、基本的にはあなたに何の影響も及ぼさないからです。エンターテイメント系のウェブサイトにもアカウントがありますが、基本的には重要ではないアカウントです。たとえば、動画サイトやゲームサイトのアカウントなどです。もちろん、オンラインでの習慣や趣味は人それぞれ異なるため、さまざまな種類の Web サイト上のアカウントの重要性も異なります。

重要なアカウントを安全に保ち、煩わしさを感じないでください

QQ番号はほとんどの人にとって非常に重要なアカウントであると信じています。私の周りの友人が、数年間使用してきたQQアカウントが盗まれ、非常に悲しんでいるとよく聞きます。そういう人たちに同情はしません。そんなに重要なことなら、なぜ最初から情報のセキュリティを確保しないのでしょうか？ QQ番号も、サイバーハッカーが最も期限切れにしたいと思っているユーザーアカウントの1つです。私自身、8つほどのQQ番号を登録しています。仕事で新しいQQ番号を登録する必要があるたびに、QQの登録に成功したらすぐにセキュリティの質問を設定します。最初から、パスワードがハッキングされて取得できなくなるという隠れた危険を防いでいます。

過去数年間QQを使用してきましたが、ハッカーにパスワードを盗まれたことがありましたが、できるだけ早くパスワードを取得して変更し、損失を最小限に抑えることができました。このような非常に重要なアカウントの場合は、面倒なことはせずに早めにパスワード保護を設定してください。アカウントのセキュリティを強化するには、携帯電話をバインドすることをお勧めします。特に現在では多くのユーザーがQQアカウントバインディングを使用してワンクリックで他のウェブサイトにログインすることに慣れているため、QQアカウントのパスワードがハッキングされると、間接的に複数のウェブサイトアカウントの盗難につながります。

他のフォーラムには「セキュリティの質問ログイン」機能があり、これもアカウントのセキュリティに非常に役立ちます。例えば、DZ プログラムを使用しているフォーラムにはすべてこの機能があります。「安全な質問ログイン」が設定されていれば、ユーザー アカウントとパスワードが盗まれたとしても、犯人はフォーラムにログインできません。過去には、28tuiフォーラムのメンバーのアカウントが頻繁にハッキングされ、違法なコンテンツがグループに送信されていました。その後、私は 28tui にサイト全体へのアナウンスを投稿し、28tui のメンバー全員に「セキュリティの質問ログイン」を設定するよう提案しました。さらに、モデレーターなどの一部の重要なフォーラム アカウントでは、「安全な質問ログイン」を設定することが必須です。これにより、フォーラム管理者のアカウントが盗まれ、フォーラムに大きな損失が発生するのを防ぐことができます。

図に示すように、「安全な質問ログイン」が設定されているため、重要なフォーラムアカウントのパスワードが漏洩したり、他の人に簡単にログインされたりする心配はありません。

ウェブサイトのパスワード漏洩クエリツールは諸刃の剣

本日、複数のウェブサイトパスワード漏洩クエリツールも発見されました。一部のウェブサイトでは、ハッキングされた複数のデータベースアカウントパスワードを組み合わせて、ネットユーザーが自分のアカウントが漏洩していないか確認できるようにしています。

このようなツールを作成するための出発点は良好で、データベースをダウンロードしなくても、自分のアカウントが漏洩したかどうかを誰もが最初に知ることができ、最初にそれを修正することができます。しかし、一部の犯罪者がそれを意図的に悪用することも容易です。このツールを使用すると、知り合いのアカウントが漏洩していないかどうかを意図的に調べることができます。その後、データベースをダウンロードしたり、他者のパスワードを入手したり、他人の利益に影響を与える違法行為を行う方法を見つけようとします。この件はネット上で広く拡散しているが、今回すべてのネットユーザーが気付いたわけではない。XXウェブサイトに登録した自分のアカウントのパスワードが漏洩したことにまだ気付いていない人も多いかもしれない。本日、誰かがこのツールを使用して他人のIDを照会し、注目を集めるためにWeiboに直接投稿し、XXのIDも漏洩したことを誰もが知ることができ、間接的に他人にセキュリティリスクを引き起こしたことが発覚しました。

したがって、インターネット上で利用可能なパスワード漏洩ツールは諸刃の剣であると私は考えています。一部のネットユーザーが自分のパスワードが漏洩したかどうかをタイムリーに確認するのに役立つ一方で、悪意のある人が使用する可能性もあります。特に、パスワード漏洩ツールの中にはとんでもないクエリ機能を持つものもあり、アカウントとメールアドレスがリストに含まれているかどうかだけを表示するのであれば妥当ですが、中にはアカウントのパスワードの一部を同時に表示するものまであります。特に、パスワード漏洩ツールによって表示されるパスワードの領域が異なります。最初の数桁のみを表示するものもあれば、最後の数桁を表示するものもあります。2 つのデータを合計すると、パスワード全体がほぼ露出してしまいます。これは非常にまずいと思います。むしろ、一部の犯罪者にとって便利な経路を提供しているのです。パスワードの一部のみが表示される場合でも、セキュリティ上のリスクが発生し、ユーザーのパスワードが直接解読される可能性が高まります。

このウェブサイトアカウントのパスワード漏洩事件は、普段パスワードのセキュリティにあまり注意を払っていない人々への警鐘にもなりました。誰もがパスワードを変更できるようにすることは良いことです。ハッキングされた、あるいはハッキングされていないすべての主要ウェブサイトは、今後データベースのセキュリティを確保する必要があります。今回の事件の後、国内のウェブサイトのパスワードセキュリティ技術が新たなレベルに到達することを願っています。そうでなければ、私たちのような一般人が大きな被害を受けることになります。例えば、今回はパスワードが盗まれたため、すべてのウェブサイトのパスワードが一括で変更されました。パスワードが変更されたばかりのウェブサイトのデータベースが再び盗まれたとします。新しいパスワードが再び公開された場合、すべてのパスワードを再度変更する必要があるため、非常に面倒です。

2011-12-27

この記事は、牟長青のオンラインプロモーションブログに最初に掲載されました: http://www.muchangqing.com/post/357.html (転載の際は元のアドレスをそのままにしてください)

元のタイトル: ウェブマスターはどのようにしてウェブサイト アカウントのセキュリティを確保し、問題に対して予防策を講じることができるでしょうか?

キーワード: ウェブマスター、方法、実行、ウェブサイト、アカウント、秘密の保護、安全性、予防、問題が発生する前に、ディスカッション、ウェブサイトのプロモーション、収益化