同じパスワードの使い回しはやめましょう!
多くのオンライン上のサービスでは、ID/パスワードが認証手段になっています。 そして、同じIDやパスワードを他のサービスで使わないというアドバイスは、別に目新しいものではありません。しかし理由はどうであれ、これは誰にとっても、いつまでも耳の痛いアドバイスのようです。
オーストラリアの著名のWebセキュリティの専門家である Troy Hunt(トロイ・ハント)氏は、このことが今日のサイバーセキュリティにおける最大の問題だと述べています(英語)。また、ニュースメディアのWebサイト Motherboardでは、過去のデータ侵害やハッキングは、同じパスワードの再利用に起因していると指摘しています(英語)。そして、エフセキュアのセキュリティコンサルタントであるJan Wikholm(ヤン・ウィクホルム)(英語)は、最近のポッドキャスト(英語)で、この状況は改善しているとした楽観的な見方を即座に否定しました。
サイバーセキュリティーサウナのホストであるJanne Kauhanen(ヤンネ・カウハネン)(英語)は、パスワードの衛生状態が改善しているかどうか尋ねられたところ、「私は座を白けさせるのはいやですが、私たちの仕事に基づいて答えると、それはノーです。」と語っています。
Janによると、人々は皆、パスワードがあまりにも多すぎて覚えられないので再利用しているとのことです。多くの人々が精神的にストレスのかかる仕事に従事しています。ランダムな文字列や長いフレーズを覚えることは、さらにそのストレスを増長させてしまいます。そして、パスワードを覚えることは誰も手伝うことができません。そのため、パスワードの質(簡単に推測できるパスワードを選択する)や、数(いくつかの強力なパスワードだけを使い回す)またはその両方(覚えるのも推測するのも簡単な、少数のパスワードだけで多数のアカウントを保護する)に対して妥協してしまうのです。
これにより、圧倒的な数の脆弱なパスワードが使用されている(英語)という状況が生まれています。
したがって、パスワードを再利用しないようにと人々に忠告するのは目新しいことではないのですが、この忠告は何度でも繰り返すことが重要です。実は、パスワードマネージャを使用すれば、このアドバイスは驚くほど簡単に実践することができます!
パスワードマネージャは、デジタルIDのキーを保存する格納庫です。強力でユニークなパスワードを作成し、セキュアで簡単にアクセスできる場所(ローカルまたはクラウドのいずれか)に保存して、Webサイト、プログラムなどへのログイン時にすぐに使用することができます。パスワードマネージャツールには、無料と有料のものがあり、いずれもほぼすべての人々のニーズに十分対応します(エフセキュアのセキュリティソリューションは、個人と企業向けの両方のパスワード管理機能を提供しています)。
Janもパスワードマネージャを利用しています。彼はそれをオンラインセキュリティの”聖杯”と呼んでおり、パスワードを保護するためには極めて強力なパスワードにすべきであると考えています。別途覚えておくべきパスワードが増えますが、これにより他のすべてのパスワードを(ほとんど)忘れてもかまいません。したがって、もう悩むことはなくなるのです!
パスワードマネージャを使用する場合は、強力でユニークなパスワードを1つまたは2つ作成する必要がありますので、その作成方法に関するJanの提案を紹介します。
- 作成するパスワードごとに独自の方法を考えてください。たとえば、歌詞をパスワードにします(例:checkyourselfbeforeyouwreckyourself)。別のパスワードは童謡にします。(例:fivelittlemonkeysjumpingonthebed)こうすれば、攻撃者はパターンを推測できなくなります。月や年、名前や誕生日などを組み合わせるのは避けてください。簡単に推測されてしまいます。
- 複雑なものにするより長いパスワードの方が破られにくいです。文字数は14文字以上にしましょう。普通の単語でも良いので、まとめてフレーズにします(例:checkyourselfbeforeyouwreckyourself)。わざわざ先頭の文字を大文字にする必要はありません。攻撃者にとって、この手法もすでに想定内です。
- 辞書にある単語から文字を削除、追加したり、特殊文字に置き換えたり、単語をまぜこぜにして機械に認識されないようにします(例:chEkj00se£fB400rurse£f)。さらに多くの提案と例がここ(英語)に紹介されています。
- 同じ種類のパスワードを複数作成するのはやめましょう。
最後に、強力なパスワードの使用を妨げるようなプラットフォームやサービスなどは疑ってかかる必要があります。パスワードに文字制限を設けたり、優れたセキュリティアドバイスの実践を妨げるようなサービスは論外です。また、できる限り多要素認証を使用してください。これは、特にEメール(多くの場合パスワードメカニズムとして機能します)や、その他の大切なアカウントにとって極めて重要です。
カテゴリ