インターネットWatch

パスワード12文字以上で強固 ひとつでも多くが理想 (1/2ページ)

 JPCERT/CC、不正ログイン防止法を紹介

 ウェブサービスで使用するパスワードを使い回すことの危険性を啓発するキャンペーン「STOP! パスワード使い回し! キャンペーン 2019」を、JPCERTコーディネーションセンター(JPCERT/CC)が31日まで実施する。キャンペーンサイトでは、「パスワードリスト攻撃」の被害を防ぐための安全なパスワードの設定方法や管理方法などについて紹介している。

 一つでも多くが理想

 パスワードリスト攻撃とは、ID・パスワードの組み合わせのリストを攻撃者が何らかの方法で入手し、その組み合わせでログインできるかどうか複数のサービスで試みる手口。ユーザーが複数のサービスで同じID・パスワードの組み合わせを使い回している場合、どこかのサービスからリストが流出してしまうと、他のサービスでも不正ログインされる可能性がある。不正ログインされた場合は、アカウントに登録された決済情報やポイントなどが勝手に利用されたり、個人情報を悪用されたりする恐れもある。

 これまでは、英大文字・小文字、数字に加えて記号を組み合わせることが多々推奨されてきたが、「アルファベットを数字や記号に置き換える」などの方法では、覚えやすさが損なわれたり、「p@ssword」のようにaを@に置き換えただけでは、辞書攻撃に使用する辞書データにあらかじめ登録されている可能性もある。そのため、現在では文字数を一つでも多くすることが望ましい。

 例えば、8文字で英大小文字+数字+記号(94種0.6京通り)を全て使った場合よりも、記号を使わない12文字以上の英小文字+数字だけ(36種473京通り)で、攻撃者はパスワードを特定する手間が掛かり、一定の強度を保つことができると推測されている。

 また、[英単語]+[好きな日本語のローマ字]+[英単語]+[英単語]……のように、辞書から単語をランダムに選んだり、日本語の好きな言葉をローマ字にすることで、記憶しやすく、文字数の長いパスワードが生成できるとしている。

 なお、ノースカロライナ大学が実施した実験では、定期的なパスワードの変更は、変更パターンが定型化してしまい、攻撃者に推測されやすくなるという結果が出ている。「パスワードは定期的に変えているので、使い回しはしていない」という場合でも、わずか数文字程度を入れ替えた程度では攻撃者に推測されてしまう可能性がある。

Recommend

Ranking

アクセスランキング

Biz Plus