最近、とあるポータルサイトの14,000の個人記録へのアクセス用パスワードが「admin/admin」であることが明らかになり問題となりました。この問題は修正されていますが、このような例によって、企業や個人がサイバーセキュリティを脅かす、「パスワード作成の重要性」が欠けていることが強調されています。
ほとんどの人は、IDが盗まれることで重大な被害を受けることがわかっているにもかかわらず、 依然としてサイバー犯罪者が推測しやすいパスワードを使用しています 。しかし問題は単に不注意なだけではありません。それは人間の性質に関するものです。問題を理解すると、より良いパスワードを作成するのに役立ちます。

 

人間の予測可能性の問題

現在のパスワード戦略の創始者であるBill Burrは、彼が発表した推奨事項について後悔していることを最近認めました。2003年に国立標準技術研究所(NIST)で働いていた時、Burr はパスワード作成のための2つの基本的なルールを定めたガイドを作成しました

  • 英数字、大文字、小文字、および特殊文字の組み合わせが必要である。
  • 90日ごとに変更する必要がある。

1番目のルールの通りに、一見ランダムに見える “S3cur1Ty%”のようなパスワードを作成したとしても、実際にはサイバー犯罪者がクラックするのは難しくありません。人間」というのはとても予測し易いのです。

たとえば、私たちの多くは、パスワードの最初の文字を大文字にする傾向があります。また、文字の場合も同様の数値の置換を使用します(例: “E”は “3”、 “i”は “1”)。これらの2つの一般的な戦略だけでは、パスワードをより予測しやすくなります。

NISTは以降Burrのガイドラインを改訂し 、ユーザーにこのようなルールによって複雑なパスワードを要求すると「ルールによって課される要件を、非常に予測可能な方法で対応してしまう」ことを認めています。

2番目のルールでも同様の問題が発生します。 パスワードを定期的に変更する人は、ちゃんとしたコードを生成するのではなく、最後に「1」を追加するだけで変更を加える傾向があります。 NISTのガイドラインでは、90日ごとにパスワードを変更することを推奨していません。 代わりに、何かセキュリティに関する事故が発生したときに変更する必要があります。

サイバー犯罪者はどのようにパスワードを盗みますか?

サイバー犯罪者は、パスワードを盗むための多くの方法を持っています。

ブルートフォース攻撃

サイバー犯罪者は、さまざまなパスワードの組み合わせを繰り返し試行するソフトウェアを使用します。 最悪のパスワードのチャンピオンはまだ “123456”なので、ブルートフォース攻撃はいまだに情報を盗むためには有効な方法です。 ブルートゥースのパスワード「クラッキング」ソフトウェアにはBrutus、RainbowCrack、Wfuzzのような名前が付いており、だれでもダウンロードすることができます。ブルートフォース攻撃は、短いパスワードでは有効ですが、長いパスワードは苦手です。 そのために、サイバー犯罪者は別の戦略に切り替えます。

辞書攻撃

名前が意味するように、辞書攻撃ソフトウェアは、さまざまな組み合わせやバリエーションを試して、あらかじめ用意された単語のリストを検索します。 皮肉にも、サイバー犯罪者は盗まれたパスワードを使用してパスワードを盗みやすくします。サイバー犯罪者は、オンラインブラックマーケットで盗まれたパスワードリストを購入することがよくあります。彼らは、個人をターゲットにするのではなく、人々が使用する最も一般的なパスワードを決定するためにそれらを購入します。彼らは将来の検索を絞り込むために、人間の予測可能性を探しています。

Wi-Fiモニタリング攻撃

パブリックWi-Fiに接続しているときは、サイバー犯罪者はパスワードを盗むことができます。特別なソフトウェアは、Wi-Fiに接続してユーザー名とパスワードが入力されるとハッカーに通知し、送信されたデータを横取りして記録します。 Wi-Fi攻撃と最近発見された脆弱性により 、Wi-Fiモニタリング攻撃がより大きな脅威になっています。

フィッシング攻撃

サイバー犯罪者は偽の電子メールやウェブサイトを使用してパスワードを盗みます。フィッシング攻撃は、通常、合法的な会社からのお知らせ等を偽装した電子メールです。 通常、これらの電子メールでは添付ファイルをダウンロード、リンクをクリック、あるいはWebサイトにサインインするように指示されます。

あたかも”銀行”から送信されたような電子メールは見かけ上問題ないですが、実際はユーザー名とパスワードを偽のウェブサイトに入力するように細工されたものです。サイバー犯罪者の手口は高度化していますが、手遅れになる前にフィッシング攻撃を検出する対策を実行しましょう。

パスワードを作成するための戦略を更新

良いパスワードを作成することは、記憶力とランダム性のバランスを見つけることです。 更新されたNISTのガイドラインに基づく、いくつかの新しい戦略があります。

予測不可能なこと

Burrのガイドラインが実際にどのように予測可能なパスワードになったのかを理解することで、パーソナライズされたランダム性を作成し、これらの問題を回避できます。

パーソナライズされた置換

共通の置換(例えば、 “A”には “4”、 “S”には “$”)を使用する代わりに、個々の関連付けに基づいて独自の置換を見つけることができます。たとえば、あなたの名前がAで始まり、3番目の子である場合は、すべてのAを3で置き換えます。 あなたはまた、お気に入りのホラー映画のタイトル(例えば、 “Texas Chain Saw Massacre” = 4)の中のSの数で全てのSを置き換えることができます。

大文字

最初と最後の位置の大文字のような、大文字の大文字の予測可能なパターンを避けます。 個人的な好みを使用するか、暗記に最も役立つ文字を大文字にすることを選択します。個人的な文言を使用すると、パスワードは覚えやすくなります。

長さ

パスワードが長ければ長いほど良いでしょう。 複雑なものを増やすことによって、より多くのキャラクターがブルートフォース攻撃を防ぎます。 最低でも8文字が必要です。 NISTは、ウェブサイトにユーザーがパスワードを「長持ちするように」作成するよう勧めていますが、パスワードが長いほど覚えにくくなります。

頭字語を使用する

長いフレーズから作成された頭字語を使用することは、覚えやすい安全なパスワードを作成するための良い方法です。手順は次のとおりです。

  1. 覚えやすい句(フレーズ)を見つけてください。例:「Don’t count your chickens before they hatch」
  2. フレーズの各単語の最初の文字を使用して略語を作成します。上記の例では、「dcycbth」
  3. 上記の置換と大文字の戦略に基づいて、いくつかの数字と特殊文字を追加します。 たとえば、「dcYcb3Th%」は覚えやすい強力なパスワードです。

最初のフレーズがより長くパーソナライズされるほど、結果のパスワードは強くなります。

注:「パーソナライズ」は個人を意味するものではありません。あなたの生年月日、故郷名、またはサイバー犯罪者が簡単に見つけることができる他のデータのような個人情報を決して使用しないでください。したがって、使用する悪いフレーズの例は「私の誕生日は6月15日」などです。

パスフレーズを使用する

パスフレーズは、ランダムな単語から構築されます。 一般的なパターンや関連を探す辞書攻撃を阻止するのに役立ちます。 ランダム名詞生成器を使用して “hallway”、 “routine”、 “travel”、 “tsunami”の4つの単語を生成した場合、ランダム性と長さにおいて強いパスワードを作成できます:hallwayroutinetraveltsunami。 いくつかの置換や特殊文字を追加すれば、より強いパスワードを作成できます。

注:セキュリティアナリストの中には、 無作為な単語の強さが 、大学の教育を受けている平均的な人が知っている単語の数が限られているため(80,000語)、 パスフレーズの安全性が低いと主張している人もいます。

2段階認証を使用する

アカウントに2段階認証(2SV)を設定していない場合は、できるだけ早く設定する必要があります。 二要素認証とも呼ばれる2SVは、あなたの身元を証明することによって、特別な保護レイヤーを提供します。 多くの2SVシステムは、アクセスコードを使用して電話機にテキストを送信することによって機能します。 コードを入力すると、ウェブサイトからアカウントにアクセスできます。

Wi-Fiやフィッシング攻撃の可能性があるため、2SVにも脆弱性が存在しますが、NISTは推奨しています。

Googleは最近、Android電話機向けのGoogle Promptと呼ばれる2SVプログラムを発表しました。Google Promptは、従来の2SVよりも簡単で安全なアカウント認証方法であると主張しています。

パスワードマネージャを入手する

パスワードに関するもう1つの問題は、 約60%の人が複数のアカウントに同じパスワードを使用していることです。明らかに欠点ですが、パスワードを必要とする多くのオンラインサービスでは、それぞれユニークで記憶に残るパスワードを作成することは現実的ではありません。

パスワードマネージャは、覚えておく必要がない安全なパスワードを作成することができるため人気が高まっています。ほとんどの場合、マスターパスワードを作成する必要があります。 パスワードマネージャは、外部のアカウントごとに多くのランダムなパスワードを作成して保存できます。マスターパスワードを覚えていれば、作成・保存されたすべてのパスワードにアクセスできます。

上記のようなことに気をつけることで強力なパスワードを作成し、サイバー犯罪の被害に遭わないようにあなた自身を守ってください。