安全にパスワードを管理するための10のアドバイス
重大なデータ漏洩にまつわるニュースを見ない日はほとんどない。過去数年間において、LinkedInやYahoo!といった人気のあるサービスから何百万ものアカウントデータがネット上に漏洩した。また、それらの事件の数ヶ月から数年後に大量のログイン認証情報がハッカーによってブラックマーケットで売られているのを目にしてきた。アカウントを保護するにはどうしたらいいのだろう?
1.一般的に、サイト間でパスワードを共有してはいけない。
あるオンラインサービスが不正アクセスされ、パスワードが漏洩した場合、ハッカーは入手したパスワードを使って、同じ対象者の他のサイトにも不正アクセスを試みるだろう。もし対象者が複数のサイト間で同じパスワードを再使用または共有しているとしたら、数年前に漏洩した古いパスワードが今でも不正アクセスに使えるということになりかねない。似たようなケースで、もし予測可能なパターンのパスワードを使用しているとしたら、あるパスワードが漏洩するだけで、残り全てのパスワードにも関連しかねない対象者の思考パターンを知られてしまう。
2.メールアカウントを保護する。
多くのサイトでパスワードリセットのリンクや、仮パスワードをメールアドレスに送信する機能がある。通常のメールのやり取りに使用するメールアカウントのパスワードを回復させるため、それとは別のメールアカウントを使用する。
3.可能であれば、2段階認証を常に使う。
多くのサービスで、追加認証として2段階認証の機能が提供されている。ログインを試みた人の携帯電話へランダムに生成された認証コード(6桁の数字が多い)が送信されるので、それを入力することで本人確認ができる。このサービスによってプライバシー保護が一段と強化される。
4.ハッシュクラッキングを難しくさせるために、パスワードを長くする。
覚えるのが難しい複雑で短いパスワードよりも、シンプルで長いパスフレーズの方が良い。「1 like that you are protecting my Passw0rds」というパスフレーズをクラッキングするのに、世界で最も処理速度が速いスーパーコンピューターの1つであるTianhe-2であっても数10万年かかる。
5.日常生活や習慣から簡単に推測されず、公開されている個人情報から導きだせないパスワードを選ぶ。
一般的に、オンライン上で公開されている個人情報の内容について注意してよく考えること。オンラインでの総当り攻撃は推測困難なパスワードで防ぐことが可能である。
6.自分にとって恥ずかしくないパスワードを選ぶ。
もしパスワードのプレーンテキストが流出したり、ハッシュ値を解読されたりしたら、パスワードが公共の場に晒されることもありえる。
7.STRONG PASSWORD GENERATOR(英語ページ)を使用して、推測困難で長いパスワードを生成する。
多くのPassword Generatorに含まれているパスワード生成機能を使うことで、自分でパスワードを考え出す必要がなくなり、代わりにツールがやってくれる。多くの上級版のツールは、文字をランダムに生成して32桁のパスワードを生成できる。これならば事実上ハッキングは不可能となる。パスワードが充分に強力であれば、データが盗まれる唯一の可能性はプレーンテキストの流出のみになる。
8.Have I Been Pwned?(英語ページ)のような通知サービスに登録する。
このようなサービスに登録しておけば、メールアカウントが漏洩したときに知らせてくれるので、必要な変更をすばやく行なえる。
9.ブラウザーにパスワードを記憶させておかない。
ChromeやSafari、Firefox、またはその他のブラウザーを使用しているときに、「パスワードを保存しますか?」というオプションが表示されることがよくある。「はい」を選択すると、リスクが増える。
10.最後のアドバイスとして、指紋認証を使用している場合、他の装置によく触る指ではない指を使用する。
言い換えれば、生体認証には、人差し指ではなく、小指や親指を使う。
不正アクセスの攻撃方法とは?
ユーザーアカウントやパスワードへの不正アクセスの攻撃には、様々なタイプのものがある。よく使われる攻撃方法の例を以下に示す。
オンライン総当り攻撃
攻撃者が多くの異なるパスワードを使用して、オンラインサービス上の対象者のアカウントへアクセスしようと試みる攻撃。通常、一般的によく使われているパスワードのリストや、公開されている対象者の個人情報を基に生成されたパスワードのリストを使ってログインを試みる。
ハッシュクラッキング
攻撃者がオンラインサービスのパスワード情報にアクセスできたが、ハッシュ化された形式で保存されている場合、攻撃者はその情報を解読する必要がある。攻撃者はhashcat(英語ページ)のようなツールを使ってハッシュを計算し、推測結果のハッシュとパスワードファイルからのハッシュが合うか比較することで解読する。この目的のためにパワフルなGPUが使用されることもある。
ソーシャル・エンジニアリングやフィッシング
攻撃者が対象者を悪意のあるサイトに誘おうとする攻撃。そのサイトは、実際にあるサービスの本物のログインページのように見えるが、本当のところは、攻撃者にパスワードを送信させる偽のサイトである。 また、パスワードリセット機能がある場合は、攻撃者が対象者にパスワードやセキュリティの質問の答えをきいてくることもある。
パスワードリセットの質問に対する攻撃
攻撃者は公開されている対象者の個人情報を使って、パスワードリセットの質問に答えを入力してアクセスを試みる。
カテゴリ