実は私も,十分ややこしいパスワードを作り,使い回しさえしなければセキュリティ対策は十分と,長年考えていました.
しかし,7payの事件でNHKの取材に応じた被害者は,(たぶん私と同レベルに^^; )セキュリティー意識が日頃から高く,今回クラックされたパスワードは,これまで使い回したことがない十分複雑なパスワードであった,と証言しています.
複雑なパスワードを使えば十分と思いつつも,実力のあるハッカーが,狙い撃ちしたら,破れないサイトはない,ということも,ハッキングのコンテストなどの記事をいくつか読んで知っていました.
そうなんです.十分ややこしく,使い回していないパスワードは,レベルの低いハッカーが行う辞書攻撃には十分なんですが,高度なハッカーの狙い撃ちには,全く意味がないということなんです.
そんなことはたぶん専門家ならずいぶん前から解っていたと思うのですが,特に金に汚いICT系サイトなどは,金のかかるサイト側の対策は取らず,一方的な規約によって,利用者に全部責任を押し付けるようになってしています.金融系の多くは保証する範囲が広くまだましのようですが.
これらを考え合わせれば,IDとパスワードのみで認証するサイトであれば,それだけで,運営側の落ち度であると断ずることができます.
なんか,関連のニュースを見聞すると,集団訴訟が起きても良いくらい被害が広がっているようです.
「ユーザーIDとパスワードだけで認証するサイトは,セキュリティ対策が不十分で,被害が出た場合の責任は全てサイトの運営側にある」という画期的な(というか当たり前の)判決が早く出ないかなと思います.法曹界も科学オンチな人が多いようで,あんまり期待できませんが^^;
また,最近広がりつつあるQRコード決済の会社にも,利用者に責任を押し付ける低レベルなところがあるそうなので,調べて解約することにします.