コンテンツを開く
F-Secure.com
本ブログについて
検索
ja
テーマのトレンド

閉じる

検索
ja

テーマのトレンド

Business Security

同じパスワードの使い回しはやめましょう!

F-Secure Japan

26.12.18 3 min. read

Tags:

多くのオンライン上のサービスでは、ID/パスワードが認証手段になっています。 そして、同じIDやパスワードを他のサービスで使わないというアドバイスは、別に目新しいものではありません。しかし理由はどうであれ、これは誰にとっても、いつまでも耳の痛いアドバイスのようです。 

オーストラリアの著名のWebセキュリティの専門家である Troy Hunt(トロイ・ハント)氏は、このことが今日のサイバーセキュリティにおける最大の問題だと述べています(英語)。また、ニュースメディアのWebサイト Motherboardでは、過去のデータ侵害やハッキングは、同じパスワードの再利用に起因していると指摘しています(英語)。そして、エフセキュアのセキュリティコンサルタントであるJan Wikholm(ヤン・ウィクホルム)(英語)は、最近のポッドキャスト(英語)で、この状況は改善しているとした楽観的な見方を即座に否定しました。 

サイバーセキュリティーサウナのホストであるJanne Kauhanen(ヤンネ・カウハネン)(英語)は、パスワードの衛生状態が改善しているかどうか尋ねられたところ、「私は座を白けさせるのはいやですが、私たちの仕事に基づいて答えると、それはノーです。」と語っています。 

Janによると、人々は皆、パスワードがあまりにも多すぎて覚えられないので再利用しているとのことです。多くの人々が精神的にストレスのかかる仕事に従事しています。ランダムな文字列や長いフレーズを覚えることは、さらにそのストレスを増長させてしまいます。そして、パスワードを覚えることは誰も手伝うことができません。そのため、パスワードの質(簡単に推測できるパスワードを選択する)や、数(いくつかの強力なパスワードだけを使い回す)またはその両方(覚えるのも推測するのも簡単な、少数のパスワードだけで多数のアカウントを保護する)に対して妥協してしまうのです。 

これにより、圧倒的な数の脆弱なパスワードが使用されている(英語)という状況が生まれています。 

したがって、パスワードを再利用しないようにと人々に忠告するのは目新しいことではないのですが、この忠告は何度でも繰り返すことが重要です。実は、パスワードマネージャを使用すれば、このアドバイスは驚くほど簡単に実践することができます! 

ポスターをダウンロードする

パスワードマネージャは、デジタルIDのキーを保存する格納庫です。強力でユニークなパスワードを作成し、セキュアで簡単にアクセスできる場所(ローカルまたはクラウドのいずれか)に保存して、Webサイト、プログラムなどへのログイン時にすぐに使用することができます。パスワードマネージャツールには、無料と有料のものがあり、いずれもほぼすべての人々のニーズに十分対応します(エフセキュアのセキュリティソリューションは、個人企業向けの両方のパスワード管理機能を提供しています)。 

Janもパスワードマネージャを利用しています。彼はそれをオンラインセキュリティの”聖杯”と呼んでおり、パスワードを保護するためには極めて強力なパスワードにすべきであると考えています。別途覚えておくべきパスワードが増えますが、これにより他のすべてのパスワードを(ほとんど)忘れてもかまいません。したがって、もう悩むことはなくなるのです! 

パスワードマネージャを使用する場合は、強力でユニークなパスワードを1つまたは2つ作成する必要がありますので、その作成方法に関するJanの提案を紹介します。 

  • 作成するパスワードごとに独自の方法を考えてください。たとえば、歌詞をパスワードにします(例:checkyourselfbeforeyouwreckyourself)。別のパスワードは童謡にします。(例:fivelittlemonkeysjumpingonthebed)こうすれば、攻撃者はパターンを推測できなくなります。月や年、名前や誕生日などを組み合わせるのは避けてください。簡単に推測されてしまいます。 
  • 複雑なものにするより長いパスワードの方が破られにくいです。文字数は14文字以上にしましょう。普通の単語でも良いので、まとめてフレーズにします(例:checkyourselfbeforeyouwreckyourself)。わざわざ先頭の文字を大文字にする必要はありません。攻撃者にとって、この手法もすでに想定内です。 
  • 辞書にある単語から文字を削除、追加したり、特殊文字に置き換えたり、単語をまぜこぜにして機械に認識されないようにします(例:chEkj00se£fB400rurse£f)。さらに多くの提案と例がここ(英語)に紹介されています。 
  • 同じ種類のパスワードを複数作成するのはやめましょう 

最後に、強力なパスワードの使用を妨げるようなプラットフォームやサービスなどは疑ってかかる必要があります。パスワードに文字制限を設けたり、優れたセキュリティアドバイスの実践を妨げるようなサービスは論外です。また、できる限り多要素認証を使用してください。これは、特にEメール(多くの場合パスワードメカニズムとして機能します)や、その他の大切なアカウントにとって極めて重要です。 

F-Secure Japan

26.12.18 3 min. read

カテゴリ

Business Security

タグ

注目記事
Business Security

アウトカムベースセキュリティとは?

F-Secure Japan

06.08.22

5 min. read

関連する投稿

アウトカムベースセキュリティとは?

記事を読む

F-Secure Japan

06.08.22

5 min. read

Business Security

病院と企業のランサムウェア被害事例の共通点と対策

記事を読む

F-Secure Japan

05.08.22

5 min. read

Business Security

【2022年度版】Emotet(エモテット)とは?感染したらどうなる?国内での被害状況や対策等についてわかりやすく解説

記事を読む

F-Secure Japan

05.04.22

10 min. read

Business Security
Business Security

EDRの新機能「高度な対応アクション」のご紹介

F-Secure Japan

09.03.22

7 min. read

Newsletter modal

登録を受付ました。 購読受付のメールをお送りしたのでご確認ください。

Gated Content modal

下のボタンをクリックしてコンテンツを確認ください。