中の人5です。こんにちは。
ここのところ、弊社が提供するサービスにもセキュリティ関連の問合せが非常に多いです。情報漏洩の問題やサイバー攻撃に関するニュースが報道されるにつれ年々セキュリティに関する意識が高まっていることを感じます。
そこで今回はパスワードについて再度確認しながら一度まとめておくことにしました。
【1】覚えやすく強いパスワードを作成する
強いパスワードとは
一般的に良く言われる「強いパスワード」とは一体どのようなものでしょうか。
まず、第一条件として「推測され難いもの」であることが重要です。IDと同じ文字列はもちろん、同じ文字を繰り返したもの「a」→「@」に変換などなそ誰もが推測しやすいものなどを使用しないことが大前提です。その条件を踏まえた上で以下を再確認しておきましょう。
- 一般的に強力なパスワードとなるのは 8 文字以上
- 辞書に載っている単語はそのまま使わない
- アルファベットや数字、記号を組み合わせる
強力なパスワードとなるのは 8 文字以上
悪意のハッカーはパスワードを素早く解読できる高度なツールを使用します。パスワードは文字数が長ければ長いほど、解読は困難になります。
辞書に載っている単語はそのまま使わない
良く取り上げられているのが2つの単語の組み合わせや文章で辞書にない単語を作成する方法です。
| 例)餡子は粒あん | ⇒ankohatsubuan |
アルファベットや数字、記号を組み合わせる
続いて「n」の文字部分を「!4」に置き代えるなど、自分なりのルールを作成します。覚えやすいようにここは自分でルールを作成することが大事です。
| 例)ankohatsubuan | ⇒「n」の文字部分を「!4」 | ⇒a!4kohatsubua!4 |
パスワードの強度テストをしてみよう
マイクロソフトのHPから作成したパスワードの強度チェックをしてみましょう。
パスワードのチェック — パスワードは強力か?
【2】パスワードの定期変更
プライバシーマークやISMSを取得している企業なら「90日毎に更新」等のルールが設けられているのではないでしょうか。
パスワードの定期変更の有効性についてはあちこちで議論されていることですが、定期変更よりも「パスワードの使い回しをしないこと」が重要であるという意見が多く述べられているように思います。
参考
【3】パスワードの使い回しをしない
情報処理推進機構(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)は2014年9月17日、複数のサイトで同じパスワードを使い回さないよう呼び掛ける「STOP!! パスワード使い回し!!」キャンペーンをスタートしました。
PA(独立行政法人情報処理推進機構、理事長:藤江 一正)およびJPCERT/CC(一般社団法人 JPCERTコーディネーションセンター、代表理事:歌代 和正)は、パスワードリスト攻撃による不正ログインの被害が後を絶たないことから、インターネットサービス利用者に向けて複数のサービスにおいて同じパスワードを使い回さないよう呼びかけます。
STOP!! パスワード使い回し!!パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ
パスワードを使い回しをしない為にはパスワードの管理が一番の課題となります。上記サイトではパスワード管理について以下3点について
- 紙のメモ
- 電子ファイル(パスワード付き)
- パスワード管理ツール
述べられていると共に、不正なログインに気付く、防止するような仕組みを取り入れるべきだとしています。
せっかく「強い」パスワードを作成しても、パスワードを使い回しをしていると1つのサービスでIDパスワードが流出すると同じパスワードを使っている別のサービスも危険にさらされます。
パスワードは、複数のサービスで使い回さないようにしましょう。
【4】メモ:パスワード有効期限が切れているにも関わらず通知されない(Windows7)
以前Windowsパスワードの有効期限が切れているにも関わらず通知されずに他の連携していたシステムにログイン出来ないということがあった為記載しておきます。
現象
ローカルセキュリティポリシーを確認するとパスワードの有効期限は規定の42日となっているのですがパスワードの変更を促されない。
対策
- スタートメニュー-[コンピュータ]を右クリックする
- 管理をクリックする
- コンピュータの管理画面が開く
- システムツール-ローカルユーザーとグループ-ユーザーから自分のログインIDをダブルクリック
- 「パスワードを無期限にする」のチェックを外す
まとめ
今回はパスワードについてまとめました。クラウドサービスが主流になっている現代。もう一度パスワードとパスワード管理について見直しが必要かもしれません。