毎回のログイン時にパスワードリセットに頼らない

複雑なパスワードを覚えておくのが面倒だと思っていた。ただ、毎回ログインページで「パスワードを忘れた」のリンクから操作すれば、複雑なパスワードを自動的に再設定・メールで通知してくれることに気が付いたので、毎回パスワードリセットを依頼して、そのまま取引をしていた。 ある日、ポータルにログインするために、いつものようにパスワード再発行を依頼したところ、「そのメールアドレスは利用されていません」と言われ、ログインできなくなってしまった。

メールやSMSといった外部からの連絡手段は、少なからず盗聴のリスクがありますので過信しないようにしてください。

パスワードリセットによりメールやSMSで通知されたパスワードが盗聴されていた場合、攻撃者は簡単にログインできたり、あなたに知られずにメールアドレス、ログインID、パスワード等を変更したりすることができてしまいます。

パスワードリセットを利用して、パスワードがメールやSMS等で通知された場合は、直ちにかつ必ずパスワードを変更するようにしてください。 推測されやすいパスワードを用いない、他のサービスと同じパスワードを使いまわさない、強固なパスワード1を設定するなどの基本的な対策はもちろんですが、対策として、交換所・販売所が推奨する別のアプリ(認証アプリ、ワンタイムパスワードアプリと呼ばれることもあります)等による2要素認証が利用可能な場合は、導入することを強くお勧めします。

また、IDやパスワードが乗っ取られた時のために、アカウントの緊急停止の手続きの有無やその方法を公式サイトで調べておきましょう。

  1. 強固なパスワードについては 強固なパスワードを設定し、他のサービスと使い回さない を参照してください ↩︎

最終更新 November 6, 2022: contents (e93071f)