簡単なパスワードは数秒で見破られる
インターネットのサービスで使うパスワード、これを悪用されると、自分が知らないうちに買い物をされたり、悪質な内容を発信されたり、とても危険です。
パスワードを見破る攻撃で、桁数の短いパスワード、例えば
”英字4桁のパスワードは約3秒”
”英字6桁のパスワードでも約37分”
で、簡単に見破られるそうです。
■■□―――――――――――――――――――□■■
パスワードの作り方
■■□―――――――――――――――――――□■■
良いパスワードの基本は、
”英字の小文字・大文字、数字を混合させ、12桁以上にする”
ことです。
(1) 英字の小文字・大文字、数字を混合させ、12桁以上のパスワードを使う
(2) 「123456」のような単純なパスワードにしない
(3) パスワードには辞書に載っている単語を使わない
(4) パスワードには自分の誕生日・名前などの個人情報を使わない
(5) 会員ID(ログイン名)と同じ文字列をパスワードにすることは避ける
(6) 同じパスワードを複数のサービスで利用しない
(7) パスワードは定期的に更新する
■■□―――――――――――――――――――□■■
パスワードの活用方法
■■□―――――――――――――――――――□■■
パスワードの安全活用は、同じものを使いまわさない、定期更新が基本!
何らかの手段により盗んだパスワードを用いて、他のサービスを不正に利用する、「パスワードリスト攻撃」というのがあります。この場合、いくらパスワードを複雑にしていても役に立ちません。
同じパスワードを複数サービスで使っていると、この「パスワードリスト攻撃」に会う危険性が増します。
(1) 見破られにくいパスワードを使う
英字の小文字・大文字、数字を混合させ、8桁以上のパスワードを使う。
(2) 同じパスワードを複数のサービスで使わない(パスワードリスト攻撃対策)
同じパスワードを使っていると、他のサービスでパスワードが盗まれた場合に不正利用される危険性が増大します。
(3) パスワードを定期的に変更する
知らないうちにパスワードの個人情報が流出している場合があり、パスワードを定期的に変更することは重要です。
(4) パスワードや口座情報などを要求するメールは無視する(フィッシング詐欺対策)
銀行のふりをして、システムが変更になったので、再ログインして下さいといって、ログインIDやパスワードを盗む詐欺(フィッシング詐欺)があります。変なメールには注意しましょう。
(5) パスワードは人目に触れないよう十分注意して管理する
パスワードを書いた紙をパソコンの画面に貼ったりするなどの行為は危険です。パスワードは家の鍵と同じ、慎重に扱いましょう。
(6) 不特定多数の人が利用する所(インターネットカフェなど)ではパスワードを入力しない
不特定の人が利用するパソコンなどでパスワードを入力すると、ブラウザに記録され、後で悪用される危険があります。
(7) パスワードや機密情報を電話などで聞いてきたときは危険と考え無視する。(ソーシャルエンジニアリング対策)
通常、重要な情報を電話で聞くことはありません。注意しましょう。
(8) パスワードを強化する2段階認証を活用する
2段階認証を有効にすると、ログインに際し、パスワードに加えてセキュリティコードの入力が必要になり、安全になります。
■■□―――――――――――――――――――□■■
パスワード攻撃にはどんなものがあるの?
■■□―――――――――――――――――――□■■
攻撃者が総当たりで数字や文字の組み合わせを試して、不正にログインしようとする攻撃です。危険なのは「aa」のような極端に単純なパスワードです。
②辞書攻撃
辞書にある単語や、パスワードによく使われる文字列の集まりを試して、不正にログインしようとする攻撃です。過去に流出したパスワードは攻撃者の間で広く知られ活用されます。
③個人情報を使った攻撃
個人の属性からパスワードを推測する方法で、パスワードとして、誕生日やペットの名前を試してみるというもの。有名人がメールやSNSを盗み見られたりする被害に遭うのはこのパターン。
④パスワードリスト攻撃
Webサイトから漏洩した情報を使って、別のWebサイトに不正ログインしようとする攻撃。どんなに複雑なパスワードを設定しても、パスワードを使い回していると、1回の漏洩ですべてのWebサイトが不正ログインされてしまいます。
パスワードリスト攻撃の例として、サイトA~Cで、以下のように同じID・パスワードを使っていた場合、サイトAから盗まれたID・パスワードを使い、他のサイトB、サイトCに不正アクセスが可能になります。単純なことですが、意外に忘れがちな落とし穴です。
サイトA・・・ログイン ID=abc パスワード=xyz12345
サイトB・・・ログイン ID=abc パスワード=xyz12345
*サイトAとID・パスワードが同じ
サイトC・・・ログイン ID=abc パスワード=xyz12345
*サイトAとID・パスワードが同じ