news

強固なパスワードのお話2(推測されるパスワード)

皆様こんにちは、
システムの知恵袋の細谷です。

今回もパスワードについての続きをお送りいたしますが。
その前に、私は色々と記載していますがセキュリティ対応についてはまだまだ素人です。
素人なりに勉強して、「こうじゃないか」と思ったことをブログに記載しています。
なので、私の発言の中には古い情報や間違って認識している情報が混ざっている可能性があります。

なので、この記事はそのまま鵜吞みにせず、他のブログや書籍と比較して「これだ」と思える対応を導入するように検討してください。よろしくお願いいたします。

前回は「システム上固いパスワード」についてお話いたしましたが。
これはあくまでシステム上であって、「Jv7kYESD」「i7PGrMvp」というようなパスワードを人は覚えていられません(※ひとつふたつなら可能かもしれませんが)

では自分で作ってみましょうか、覚えやすいように私の名前から「Hosoya」これだけだと怖いので数字もつけてHosoya1234」文字数も多いですし、大文字小文字数字も混ぜてあります、そして覚えやすい、
これで一安心、、、、

とはいきませんね、こういった人が作りやすいパスワードは人には推測されてしまいます。
がよく使っているパスワードをまとめて一覧にし、その一覧で攻撃を仕掛ける手法があります。
具体的には初期設定でよく使われる「0000」や「123456」先ほどの名字や社名などその人の確認できる情報から、パスワードを推測して攻撃を仕掛けることを、「パスワードリスト攻撃(リスト型攻撃)」といいます

こちらの場合、攻撃の成功率は先日の総当たり攻撃に比べれば低いのですが、
試行回数が少ないため、多くのアカウントに攻撃を仕掛けられます
「下手な鉄砲数打ちゃ当たる」といいますがまさにそれです。

いろんな道具を使って金庫をこじ開けるのが総当たり攻撃なら、
針金のみで、たくさんのカギに挑戦して偶然開けばよしというのがパスワードリスト攻撃となります。

これを防ぐにはまず「よく使われる パスワード」で検索すると出てくるパスワードを使用しないこと、
次にあなたのプロフィールから推測できるものは避けましょう、これは人知人の情報も含みます。
最後に「パスワードの使いまわしはしない」という事です、使いまわしをしている人は多いので、
一度開いたIDとパスワードは、リストに優先順位高めで追加されます、1つ開いてしまえばあとは芋づる式に取られて行ってしまうので、使いまわしはやめましょう

ではどうしましょうか、頑張って複雑なパスワードをたくさん覚えないといけないのでしょうか?
そんなことはありません、その方法は「複数ワードのパスワード」になります。
例えば食べ物と動物を合わせて「Dog&pastaやそれこそ「YesEasyPassword:)」といった文章でも構いません、パスワードリストはロックされないように、5~10個程度に抑えることが多いので、
複数の情報を組み合わせて10個以上になる様にしておけば、ひとまず安心です。

システム側の対応としては、「リストに乗りやすいパスワードはシステム上で登録禁止にする」ぐらいしかありません、「アカウントをロックする」は試行回数からすり抜けられてしまうので、「IPアドレスでロックする」という方法もありますが、これはBOTを使われてしまえば効果はありません

本日はこの辺で、次回も引き続きパスワードについてお話し致します。
それでは失礼いたします。