超危険なパスワードをセキュリティ的に安全なパスワードに変える作成方法

By Ron Bennetts

ウェブメールサービスやSNS、ネットバンキングなどの増加により、パスワードを設定する機会が多くなっていますが、同じパスワードを複数のサイトに登録する人は多いようで、マカフィーの発表によると、全ネットーユーザーのうち74%が同じパスワードを複数のウェブサイトで使用しており、また、よく使われているパスワードは「password」「123456」「12345678」でハッカーにとってかなりクラックしやすくなっているとのこと。マカフィーはインターネットユーザーに対し注意喚起の意味をこめて、クラックされにくいパスワードの設定方法を公開しました。

Are you Hackable or Uncrackable? “Password Day” is Today! | Blog Central
http://blogs.mcafee.com/consumer/password-day


◆1:同じパスワードを複数のサイトで使用しない

同じパスワードをいくつものサイトに登録するとハックされる危険性は高くなりますが、利用するサイトごとに違うパスワードを使い分けるのが難しいのであれば、Eメール・SNS・ネットバンキング用と使用するジャンルなどで違うパスワードを設定するだけでも格段に危険性は減ります。


◆2:設定するパスワードは無作為な文字の羅列よりも、複数の単語を並べて長くする

設定するパスワードは、アルファベットの大文字・小文字、空白、数字、「?」や「!」などの記号を含んだものが安全性が高く、また、「My 1st Password!」のような複数の単語を組み合わせて総文字数を多くし、なおかつ数字や記号も自然に組み合わせたパスワードの方が、無作為に選んだ文字を羅列させただけものよりもクラックされにくいようです。


◆3:SNS用のパスワードは語尾に使用しているSNSのサービス名などを追加する

同じパスワードを複数のSNSで使用する場合は、Twitterなら「My 1st Password: Twtr」、Facebookなら「My 1st Password: fb」などとパスワードの語尾に利用しているSNSの短縮した名前などを追加する。


◆4:パスワードは覚えやすく、文字数の多いものにする

文字数が多い反面、簡単に覚えられるパスワードは、複雑な文字の羅列のものよりハックされる危険は低め。例えば「Br3ak1ead&7」というパスワードは毎秒1000回の総当たり攻撃を食らうと3日で突破されますが、「thunder showers before sunset」は毎秒1000回の総当たり攻撃でも550年持ちこたえます。


◆5:複数の単語を並べたパスフレーズ作成方法の例

パスフレーズ作成に迷った時は、例えば、自分の好きな映画に関するクイズの答えや初めてのキスの感触、数字を入れたい場合は、体重などを含んだものにするのがいいとのことです。


マカフィーは、上記に挙げたもの以外にもパスワードを守る方法として、「ネットカフェや図書館でパスワード入力が必要であるサイトにログインしない」「空港やカフェなどで無料Wi-Fiを経由してインターネットに接続しているときは、パスワード入力を避ける」「パスワード入力時に選択できるremember meを使わない」などの方法をオススメしています。なお、上記のパスワード設定方法はあくまでも「12345」などの超絶簡単なパスワードに比べるとはるかにマシというだけの話であり、単語の組み合わせである以上は「辞書攻撃」などで突破される可能性は大ですが、それでもなお各サイトで少しずつ変えておくことにより、万が一の事態でパスワードが流出しても、ほかのサービスに与える影響を最小限に抑えることができるので、しないよりはした方がよい、ということです。

・関連記事
よく使われる危険なパスワードトップ500 - GIGAZINE

「使ってはいけないパスワード」2012年版トップ25、「password」「123456」が上位譲らず - GIGAZINE

Google ChromeのシークレットモードからGmailやFacebookのパスワードを抜き出す方法 - GIGAZINE

各ブラウザからパスワードを抜き出すフリーソフト「WebBrowserPassView」 - GIGAZINE

Twitterユーザー約25万人分のパスワード流出の危険あり、該当ユーザーは強制的にパスワードリセット済み - GIGAZINE

たった1つのパスワードを覚えれば全OS・全ブラウザのあらゆるパスワード自動入力&管理ができる「LastPass」 - GIGAZINE

84

in メモ, Posted by darkhorse_log