ついに来たOpenSSL対応サイトからのお願い

ついに来たかって感じでしたが、幸いにも情報をもらっているだけのサイトだったので
「パスワードをご変更いただくことを強く推奨いたします」という事でパスワード変更だけで済みました。

では本題です

今回の案内は、迷惑メールでは無い事をサイト元や、登録メールで確認を取った上で変更を行いましたので問題はないと思います。

パスワード変更は充分確認を取ってから

今回の様に、サイトから対応完了のアナウンスがあってから、もしくは、「データ暗号化ソフト「オープンSSL」で脆弱性」で紹介した Heartbleed脆弱性検査を行い、OKであればパスワード変更した方が良いと思います。

OpenSSLの脆弱性の対応が終わってないサイトに対してパスワード変更して、その後サイトから対応終わりましたとアナウンスがあった場合、もう一度変更をしなくてはならず2度手間になってしまいます。

複数サイトでのパスワード使いまわしは危険

これは前々から言われている事ですが、例えば管理しているサイトが3つあったとします。

仮にサイトA、B、Cとしましょう。

パスワード変更が面倒だと、すべて同じID、パスワードにしていた場合Aのサイトが被害にあった時、B、Cのサイトも同じだと、Aサイトで盗まれたID、パスワードからB、Cのサイトへいもづる式に被害にあう可能性があります。

パスワード管理には無料のソフトがいろいろ出ていますので複数サイトを管理する場合はこの手のツールに頼った方が効率と安全性が確保できます。

参考リンク(Heartbleed脆弱性検査サイト)

・シマンテック(SSL Certificate Checker)

・海外サイト(ハートブリード検査)

その他

・IPA 独立行政法人 情報処理推進機構

OpenSSLの脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について

OpenSSLの表記について

上記サイト、IPAやセキュリティベンダーは「OpenSSL」としている事から今後の記事に関しては「OpenSSL」表記に統一していきたいと思います。
なお、すでにUPした記事の表記に関しては 記事全体に問題が生じなければ修正はしない事にしています。

Pocket

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です