クイズ「情シス部門が知っておきたいテーマ」
設定してはいけないパスワードのタイプは?
2016年7月
悪意ある第三者による不正ログインの被害に遭わないためには、簡単に推測されてしまうような安易なパスワードの使用はNGです。では、どのようなパスワードなら推測されにくいのでしょうか。
クエスチョン
次のパスワードで最も推測されにくいものはどれでしょうか。
(1) september
(2) gl78wmx3z
(3) jHt5-Re@X
アンサー
(3)
解説
悪意ある第三者によるパスワードの推測方法
自分のパスワードが悪意ある第三者に知られてしまう原因の一つに、推測があります。安易なパスワードを用いると、簡単に推測できてしまい、不正にログインされる危険が高くなります。
推測の手法は基本的に、パスワードと予想される文字列を手当たり次第作成し、ログインできるまで何度も試していく、というものです。そのため、パスワードを推測されにくくするためには、「12345678」や「password」など単純すぎるもの、短すぎるものを避けるのは大原則です。
それとともに、意味のある文字列や数値を使わないことが基本です。自分の名前や誕生日の数値などはもちろん、一般的な単語も使用は避けるべきです。悪意ある第三者による不正ログイン用のパスワードの作成には、一般的な単語の組み合わせで行われるケースが多いからです。辞書に載っているような単語の組み合わせでパスワードを推測して不正ログインを試みる攻撃は、一般的に「辞書攻撃」と呼ばれます。
従って、パスワードは意味のないランダムな文字列が望まれます。ただし、用いる文字の種類によって推測されにくさが変わるので注意が必要です。悪意ある第三者は、辞書攻撃の次にパスワードとなる文字列を総当たりで組み立てます。例えば、アルファベットならAから、数値なら0から順番に一つずつ当てはめて予測していきます。
それゆえ、使われている文字の種類が多いほど、総当たり方式で推測されるリスクが減ります。アルファベットだけ、数字だけではなく、両者を組み合わせたり、記号も交えたりするとよいでしょう。さらにアルファベットも、小文字だけでなく大文字も交えると、より強固なパスワードになります。
推測されにくいパスワード
以上を踏まえ、今回のクイズの(1)~(3)のパスワードを改めて見てみましょう。
パスワードの長さはどれも同じですが、(1)は「september」という意味のある文字列が使われており、かつ、文字の種類がアルファベット小文字しか使われていないため、もっとも推測されやすいといえます。
(2)と(3)は意味のないランダムな文字列であり、大幅に推測されにくくなります。両者で使われている文字の種類に着目すると、(2)は小文字アルファベットと数値のみですが、(3)は小文字アルファベットに加え、大文字アルファベットと記号も使われているため、より推測されにくいといえます。
また、パスワードのセキュリティ全般としては、いくら推測されにくいものでも、複数の端末やサービスなどで同一のものを使い回すことは避けましょう。情報漏えいなどで、悪意ある第三者にひとたび知られてしまうと、すべての端末やサービスが不正ログインされてしまいます。他にも、一定回数以上ログインに失敗すると凍結するような端末やサービスを利用したり、パスワードに加えて生体認証やPINコードなどを組み合わせた2要素認証を使ったりすれば、対策として有効だといえるでしょう。
Tips
以下をチェックして、容易に破られないパスワードを作ろう!
クイズ「情シス部門が知っておきたいテーマ」
- なぜ迷惑メールは増え続けるのか?
- 設定してはいけないパスワードのタイプは?
- 一定回数間違えた場合に、ロックすれば不正ログインは完全に防げる?
- MITB攻撃で実際にあう被害は?
- 遠隔操作ウィルスによる犯罪は?
- セキュリティの新しい国家資格は?
- Miraiウイルスの主な感染先は?
- セキュリティ研修はどう実施すべき?
- 標的型攻撃メールの被害を受ける要因は?
- 内部不正による情報漏えいはどんな立場の人が多い?
- 働き方改革を加速させるフリーWi-Fi。便利だけど、どんな脅威がある?
- AIとIoTのエンジニア育成に注力する省庁は?
- 大手コンビニに導入予定の認証技術は?
- 今年最も懸念されるセキュリティの脅威は
- スマホがウイルスに感染? その兆候とは
- ヤフーが新たに採用した認証方式とは?
- QRコード決済が乱立。解決を主導する省庁は?
- あと数年で何が起こる!? ITシステム「2025年の崖」とは?
- 今後は実施が必須!? 「サイバー防災訓練」とは
- ブラウザに「これってサポート詐欺?」と思う警告画面が出てきたら?
- フェイスブックが新たに発表した仮想通貨の名称は?
- 被害急増中! モバイル利用者を狙うフィッシング攻撃の手口とは?
- 変化するマルウエア。2019年秋頃から被害が増えているのは?
- Webブラウザに未修正の脆弱性が! どんな攻撃を受ける?
- 企業の無線LANのセキュリティ対策で正しくないのは?
- IPAの情報セキュリティ10大脅威。2020年の個人部門1位は?
- スマホを水中に落とした!水から引き上げたらまずやるべきなのは?
- メガネ型のウェアラブルデバイス、○○グラスとは?
- 急増するウイルスへの感染を狙う攻撃メール。ウイルス感染対策はどうする?
- 2020年秋から攻撃急増!「Zerologon」とはどんな攻撃?
- パスワード付きZIPファイル“PPAP”はなぜ廃止になった?
- 知らぬ間に、Googleに保存していた大切なデータが消えている!?
- IoTと何が違う!? 次世代のトレンド「IoB」とは
- パスワード流出で何が起きる? どう防げばいい?
- 手をかざすだけで触っている感覚が得られる技術とは?
- 今の時代、プログラミングの知識ゼロでもアプリを開発できる!?
- 最近トレンドの「何も信頼しない」が前提のセキュリティとは?
- これなら安全! 2種類以上の方法による認証方式とは?
- 何が違うの? 電子契約に欠かせない「電子印鑑」と「電子署名」とは
- アプリケーションを誰でも使いこなせるようにする仕組みとは?
- 行政サービスを国民一人ひとりが享受できることを目指し、政府が進めているデジタル化の取り組みとは?
- Windows 10のサポート終了はいつ? 何が困る?
- 最先端技術を活用して未来都市を実現する日本政府の構想とは?
- 本人と見分けつかない!? 偽動画によるビジネス詐欺に注意