仕事で日常的にパソコンに触れてる身からすればもの凄く今更感はあるけれど、子供や嫁のセキュリティリテラシーを考えたらネット脅威を自己防衛できるか怪しいのでネットサービスの入口を固めるためにファミリープランのあるパスワードマネージャをサブスクしたが、どうしようもない点に気づいた話

元々我が家ではリモートワーク環境を維持するためになるべくハイエンドのルータを設置したり、余計な通信は拒否やセキュリティソフトを入れるなどしている。

ただ、セキュリティ意識が低いとパスワードを管理できず簡易なパスワードや使い回しは避けようがない。セキュリティは利便性と反比例も相まって人の運用だけでは限界がある。ましてや子どもには不可能な話。

まだ子どもにはスマホは渡していないけれど、学校ではiPad支給されてるし、ずっとスマホ渡さないわけにもいかないだろう。
子供だけでなく妻のセキュリティリテラシーは一般人平均レベルであり、やはりネットサービスの運用や開発実態を知ってる身からすれば、恐怖は拭えない。とはいえど自分だけが恐怖し妻や子どもにあーしろこーしろと伝えた所で行動は続かないことは自明。

そんなわけで有名所のパスワードマネージャでファミリープランを年間単位でサブスクした。

各サービス毎にパスワードを分けて、強度もそのサービスの限界に変更してる途中。自分のものが終われば妻に使い方をレクチャーするフェイズが待っている。

これで一応は安心。ってことにはならないなとパスワード変更をしてて感じた。

鍵は強固でも壁を壊されたら鍵は無意味

サービスによってはアカウント情報に氏名、住所や電話番号、場合によってはクレカなど資金・資産につながる情報も含まれたりする。

パスワードマネージャとは言うなれば入口を強固したに過ぎず、そんな正面玄関から正々堂々と侵入せずとも、サービスの脆弱性をつかれて侵入だったり開発者を対象にフィッシングしてバックドアを許してしまえば何の効果も発揮しない。

サービス側がDBに暗号化を施していれば復号化されなければ悪用リスクは防げるが、技術の進歩がそれを許さない。今はよくても将来的には今の暗号アルゴリズムでは鍵の解読はされる。

脅威を煽ってる所にさらなる追撃をかける形になるが、パスワードマネージャに登録ついでに弱いパスワードを変更したり、サボってた2FA対応したりするために国内の各サービスを訪れているが、そもそも2FAが未対応や、パスワードの桁数が未だに8文字で英数字のみとか、退会してもデータ削除の保証がされてなかったりとか、時代が2000年辺りで止まっているサービスがたくさんある。
しかも認知度の高い企業のサービスでもそういった所はある。
大手企業だから安心とは言えないのが国内企業の実態とも言える。

何やっても100%安全は不可能でリスクは必ず負う

結局のところ弱そうなサービスへ情報を登録しない事が最も効果がある。効果があるだけで完全ではない。そして弱いかどうか実態は見えないし見えたとしても判断できる人は少ない。
当然そもそもネットサービスを使わないが最も最強ではあるが、無敵ではなく行政がやられれば個人でネットサービスを使ってなくても被害は受ける。
どう足掻いてもリスクはありネットの脅威からは逃げられないと感じた。