文系プログラマによるTIPSブログ

文系プログラマ脳の私が開発現場で学んだ事やプログラミングのTIPSをまとめています。

iCloudパスワードを変更したいのにセキュリティ質問が解らず困った時の対処法

セキュリティ質問の回答が解らなくてもパスワード変更できます
f:id:treeapps:20160712235326p:plain

macやiphoneをお使いの方は既にご存知かと思いますが、先日↓パスワードが大量流出した恐れがあるというニュースが発表されました。
news.mynavi.jp

Appleから4000万件に上るアカウント情報が漏洩したおそれがあると伝えた。この記事を引用する形で、複数のメディアがユーザーに注意喚起を行っている。しかし、後に記事が更新され、4000万件は誇張だった可能性があるという説明が追加されている。

とも書かれており、実際はもっと少ないのかもしれません。

しかしこれを機にパスワードを変更しておいた方が精神衛生上よろしいかと思うので、この際iCloudのパスワードを変更しましょう。

iCloudのパスワード変更

iCloudのパスワード変更は、Apple IDのページから行います。

https://Apple ID.apple.com/account/home

ここからログインすると、各種アカウントの変更画面に遷移し、パスワードやクレジットカード情報等の変更が可能です。

ここで「パスワードを変更」リンクから変更しようとすると、以下のようにセキュリティ質問を聞かれます。

f:id:treeapps:20160712222111p:plain

しかし・・・

セキュリティ質問の回答が解らない!

これではパスワードを変更できません。

更に、本来このポップアップに「セキュリティ質問をリセット」というリンクが表示され、そこからセキュリティ質問をリセットする事ができるそうなのですが、私の場合は「修復用メールアドレスが登録されている、しかしセキュリティ質問をリセットのリンクが表示されない」という謎の状態だったため、ここからパスワードの変更ができませんでした。


しかし安心して下さい。セキュリティ質問の回答が解らなくてもパスワードを変更する事ができます。

パスワードを変更するには、まずはApple IDからサインアウトし、Apple IDのログイン画面を表示して下さい。

ログイン画面をよく見ると、以下のように「Apple ID またはパスワードをお忘れですか?」というリンクがあるので、これをクリックします。

f:id:treeapps:20160712222533p:plain

リンクをクリックすると以下のようにメールアドレスの入力を求められるので、入力して「続ける」をクリックします。

f:id:treeapps:20160712222651p:plain

次の画面で新しいパスワードを再設定する画面が表示されるので、これでパスワードを変更する事ができます。

なんかおかしいセキュリティ事情

セキュリティ質問って必要?

正直セキュリティ質問とか、本気でやめて欲しいですね。Appleのサポートページを見てみると、以下のように「セキュリティ質問を忘れた」が大項目になってしまっているので、忘れる人が相当多いという事なのだと思います。

f:id:treeapps:20160712223503p:plain

この「セキュリティの質問」は皆さんがよく目にする「秘密の質問」と同じで、以下のようにないよりマシというレベルのものだそうです。

Googleでは数百万件のGoogleアカウントの復旧で使われた数億件の「秘密の質問」とその「答え」の関係を分析したという。その結果は、要するに「ないよりマシ」ということである。

ggl21.jpg
分析結果の一例(Google)
 例えば、「好きな食べ物はなんですか?」という質問に対して英語圏の人であれば、「pizza(ピザ)」と回答すると、19.7%の高確率で正解する。つまり、2割の人が「pizza」を回答にしていた。韓国ではもっと偏っており、なんと4割の人が「生まれた街はどこですか?」との質問の答えを「ソウル(ハングル文字)」にしていた。好きな食べ物に至っては43%が同じ回答を設定している。

 また、「ペットの名前はなんですか?」「学生時代好きな教科は?」などの質問であれば、知人がどのような回答を設定しているのかは簡単に予想がつくだろう。それでは、質問を変えればセキュリティの強度を増すことができるのだろうか。その効果は極めて難しい。なぜなら、英語圏の約4割が自分の設定した回答を忘れていた。この他にも定型質問である「マイレージ会員番号は何番ですか?」という問いでは、正答率は9%だったという。

http://www.itmedia.co.jp/enterprise/articles/1506/12/news036.html

↑のサイトの2ページ目には以下のようにも書かれています。

・「秘密の質問」は単なるパスワードである
・質問の種類は何でもいい。任意に選択する。例えば、「母方の旧姓はなんですか?」にする。
・この質問の答えは、以前に紹介したセキュリティレベル「ランクC」に相当するもの。答えの種類は1つだけにする。1種類だから質問には全く関係のないフレーズになり、例えば「私は富士山が好き」でよい

http://www.itmedia.co.jp/enterprise/articles/1506/12/news036_2.html

しかしここで問題なのは、ユーザが覚えていないといけないのは質問と回答の2種類である点が問題だと思っています。質問だけを覚えていてもダメ、回答だけを覚えていてもダメです。両方覚えて初めて意味を成します。

覚える事多すぎ!!

例えばApple IDの場合は以下のように、合計6個の質問と回答を記憶していないといけないのです。

1 Apple IDのユーザID(メールアドレス)
2 Apple IDのパスワード
3 セキュリティ質問1
4 セキュリティ質問の回答1
5 セキュリティ質問2
6 セキュリティ質問の回答2

Apple IDの場合は質問に数回間違えると、悪意のあるユーザがアタックしていると判断し、一定時間(8時間くらい?)アカウントの変更ができないロック状態に陥ってしまいます。トライできる回数が限られている中で、6個の質問と回答を入力しないといけない、これはちょっとハードル高くないですかね?

それだったら以下のように、質問の問は省いてパスワードのみを入力させるようにすれば、4個に減ります。

1 Apple IDのユーザID(メールアドレス)
2 Apple IDのパスワード
3 追加パスワード1
4 追加パスワード2

これでも4個覚えるのはしんどいので、個人的には覚えるパスワードは1個でいいけどパスワードの最低桁数を20桁にするくらいの事をしてもいいんじゃないかと思っています。20桁というととても暗記していられる桁数ではないのですが、そもそも暗記できてしまう程度の桁数でセキュリティが保てると思わない方がいい、と私は考えています。

ネット上で「全サイト共通のパスワード+そのサイトのホスト名の頭文字数文字を結合したものをパスワードに設定する」等としている例を見たりしますが、それ、本当にセキュリティ大丈夫なんですかね?最悪1サイトパスワードを破られたら、パスワードの共通部分は簡単に推測できるので、他のサイトのID/PASSも簡単に破られそうな気がします。

ではどうすればいいか。個人的な回答は「IDとパスワードを覚えない」です。勿論GoogleドライブのスプレッドシートにID/PASSを保存したり、HDDにID/PASSをメモしたテキストファイルを持つのもNGです。

ID/PASSを一切覚えないという選択肢

例えば1Passwordというソフトを使えば、ID/PASSを一切覚える事無く、ID/PASSを入力する事が可能になります。1Passwordのモバイル版(iOS・android)はなんと無料なので、気になる方は是非試してみて欲しいと思います。

1Password

1Password

  • AgileBits Inc.
  • 仕事効率化
  • 無料
もし気に入ってデスクトップ・ノートのmacでも使いたくなったら、有料ですが、macOS用の1Passwordもあります。
1Password

1Password

  • AgileBits Inc.
  • 仕事効率化
  • ¥7,800
勿論1PasswordのID/PASS情報はクラウド等で情報を共有できるので、iOSとmacOSで情報を共有する事ができます。勿論私はmacOS版を購入済みで利用しています。

まずは動画でどんな感じなのかを動画で確認してみて、どんなソフトなのかを確認してみるといいかと思います。
www.youtube.com
※ 以前はモバイル版1Passwordは有料でしたが、現在は無料になっています。

こういったクラウドを利用したパスワード管理ソフトで、クラウド側で漏洩したらどうすんの?全滅じゃん?と考えると思いますが、あなたがローカルでテキストファイルにID/PASSを保存したりGoogleドライブで保存して漏洩する確率と、クラウド側で漏洩する確率、どちらが高そうですかね?パスワード管理ソフトはクラウド側は基本セキュリティは通常のサイトと比較して固く、開発・専門スタッフがいる状態なのに対して、自分で何となく管理するのでは、漏洩する確率は圧倒的に自分で管理する方ではないでしょうか。

自分で管理したID/PASSをgmailに貼り付けて会社でそれを利用していたら、うっかりそれをMLに書き込んでしまって不特定多数にID/PASSが知られてしまった!等というヒューマンエラーは起こります。普段注意していても忙しかったり睡眠不足だったりすると、簡単にミスを起こしてしまう、それが人間です。

なので、極力自分ではアカウント情報は覚えずにツールに頼る事をおすすめします。「ID/PASSは?」と聞かれたら「全く覚えてない。1Password見ないと解らん」と回答するくらいの方がいいと思います。ネット上にはサイトが無数にあり、徐々に覚えないといけないID/PASSは増えていきます。次第に頭の中だけで管理しきれなくなり、徐々に安易なパスワードになりがちになり、いつかハックされてしまう。慌ててパスワードを変更しようにも、ID/PASSが解らないサイトがあったりして右往左往。実際に私はそういう経験をし、1Passwordを導入しました。

1Passwordを導入して以来、IDは適当で、パスワードはそのサイトで設定できる最大桁数で、英数字記号を含むランダムパスワードを、1Passwordのパスワードジェネレータで生成して設定しています。勿論暗記できるような代物ではありません。なので、今の私はもうパスワードは1つも答えられない状態です。

雑感

世間では生体認証だ!等と騒がれていたりしますが、規格がきまり普及が進むには相当時間がかかるので、今のうちは1Password等のパスワード管理ツールを使っておくといいと思います。

1Passwordは起動時にマスターパスワードという、パスワードを管理するための親パスワードが1個だけあるのですが、最近のアップデートでiOSのTouchIDに対応したので、マスターパスワードを入力する事なく簡単にログインする事が可能になっています。(macOSの方はTouchIDが無いので手入力ですが・・)

1Passwordのソフト上でパスワードをコピーすると、一定時間経過するとクリップボードからパスワードが削除される等の機能もあったりして、現状かなりいい感じだと思われるソフトなので、まずは無料のモバイル版から試してみてはどうでしょうか。1PasswordはID/PASS以外の追加情報も一緒に保存する事ができるので、セキュリティの質問と回答も一緒に保存したりすると、いざという時に困らなくてよくなるかと思います!

1Password

1Password

  • AgileBits Inc.
  • 仕事効率化
  • 無料
1Password

1Password

  • AgileBits Inc.
  • 仕事効率化
  • ¥7,800