パスワード対策
ネットサービスを使う上であなたであることを証明するパスワードはほぼ必ずと言っていいほど必要になりますよね。
パスワードは家の鍵のようなもので、それさえ手にいれてしまえば他人がやすやすとあなたの家に侵入出来ることから、セキュリティ対策の上でまず一番に気をつけるべきことです。
しかしそんな大切であるはずのパスワードを「長いと覚えにくいから短く」「忘れないように単語」で作ってしまう方がとても多いのが現状です。
ですがそのような考えで作られたパスワードはとても破られやすいのです。
安易なパスワードを使わないようにしよう
- アカウント・ID名とパスワードが同じ
- 自分や家族の誕生日・住所など容易に推測可能
- 辞書に載っているような単語
- 有名人やキャラクターの名前
- 5文字以下の短いパスワード
- 数字・または英字のみで作られたパスワード
これらのパスワードは解読をしようと試みる不正アクセス者にとってまさに思うつぼ。パスワード解析ツールを使ってあっさりと解読されてしまいます。
たとえばパスワード解析ツールには、人がパスワード作りで使いそうな単語を網羅した辞書があり、そこに書かれている単語でパスワードが作られていた場合には、たとえ長いパスワードだとしても解読されてしまいます。
また短ければ総当たりで1つずつパスワードを解析していった場合に短時間で解読されてしまいます。
良いパスワードとは
つまり良いパスワードを作るには上記の例に反したパスワード作りをすれば良いわけです。
- アカウント・ID名とパスワードは必ず変える
- 自分や家族の誕生日・住所など容易に推測出来るパスワードにしない
- 辞書に載っているような単語を使わない
- 有名人やキャラクターの名前を使わない
- 8文字以上の長いパスワードを使う
- 英数字の大文字小文字を組み合わせる
以上の条件にあったパスワード作りを心がけましょう。
(例 Ay58nQwT)
数ヶ月ごとに定期的にパスワードを変えてしまえばさらに安全性が高まります。
具体的なパスワードの強度を知りたい場合は、以下のサイトで確認ができます。
このサイトの入力フィールドに強度を知りたいパスワードを入力すると、辞書や総当たりで解析された場合にどのくらいの時間でパスワードを知られてしまうかが表示されます。
ここで入力したパスワード強度の計算はJAVAを使用したブラウザの方で行われるため、サイトにパスワードが知られる心配はありません。
例:パスワードが総当たりで解析されてしまうまでの時間
How Secure Is My Password?を使って、各パスワードがどれくらいの時間で解析されてしまうかを調べてみました。
- anthnqw (7文字│小文字のみ) = 13分
- Ay58nQw (7文字│小文字+大文字+数字) = 4日
- anthnqwt (8文字│小文字のみ) = 5時間
- ay58nqwt (8文字│小文字+数字) = 3日
- Ay58nQwT (8文字│小文字+大文字+数字) = 252日
このように7文字以下のパスワードや、8文字のパスワードでも小文字のみや小文字+数字では短時間でパスワードが解析されてしまうことがわかると思います。
そのため、解析に最低でも数ヶ月を要する「小文字+大文字+数字」で8文字以上のパスワードにするのが望ましいです。9文字以上にすればパスワードはさらに強固になります。
例:文字数による小文字+大文字+数字パスワードの強度比較
- Ay58nQw (7文字) = 4日
- Ay58nQwT (8文字) = 252日
- Ay58nQwTs (9文字) = 42年
- Ay58nQwTsD (10文字) = 2000年
無料パスワード管理・生成ソフト
ここでは前述した破られにくいパスワードを自動的に作成し、厳重に管理してくれるセキュリティ機能を持った無料のツールを紹介します。
パスワードを何個も管理しなければいけない時はつい覚えやすいように似通ったパスワードを使いがちですが、これらのツールを使えばパスワードを考えたり覚える手間もいらず、パスワードを入力する際もコピー&ペーストやボタンを押すだけでOK。複数のパスワードをより楽により厳重に管理が行えます。
パスワード総合管理 シェアウェアですが内緒項目4つ以内は無料。
パスワードの生成に使用する文字に(英大文字・英小文字・数字)の3つと、文字数8文字以上を選択。そしてパスワード生成のボタンを押せば、それらの文字を含んだパスワードをランダムで生成してくれます。(記号)はほとんどのサイトでは使用出来ないので、使えるところだけ選択しましょう。
不特定の人が使用するパソコンは注意しよう
ここから先は人為的にパスワードを盗まれることを防止するための行いです。
最近はネットカフェなどで気軽にインターネットを楽しめるようになりましたが、こういった不特定の人間が使うことが出来るパソコンでIDやパスワードを使うのはかなり危険です。
利用するサイト、サービスにもよりますが、インターネットキャッシュや履歴、オートコンプリート機能などからIDやパスワードを知られてしまう場合があります。
これらの機能は自分専用のパソコンでなら便利なものですが、不特定の人間が使用するパソコンではセキュリティ上危険が伴います。
対策としては自分が使用した後にはインターネットキャッシュ、履歴、オートコンプリート履歴のクリアを必ず行います。
しかしパスワードなどのキー入力を自動で記録するキーロガーという不正プログラムがパソコンに仕掛けられていた場合にはこういった対策をしても盗まれてしまいます。
実際ネットカフェのパソコンにこのキーロガーが仕掛けられIDやパスワードが盗まれる事件が多発しています。
ですので出来うるかぎり重要なIDやパスワードは自分専用のパソコンでのみ使用するようにし、他人に使わせないようにしましょう。
パスワードを打つところを人に見られないようにしよう
パスワードをパソコンに打ち込む時は大抵*(アステリスク)で表示され、第三者からは見えないようにはなっていますが、キーワードを打ち込んでいるあなたの手の動きを見られたらどんなパスワードかがわかってしまいます。
手の動きでパスワードを知ることは可能なのです。
現に銀行の暗証番号を、打ち込む時の手の動きから見破られるケースが存在しています。
パソコンの手の動きのほうが複雑とはいえ上記のようなケースがある以上、けっして不可能ではないでしょう。
重要なパスワードを打ち込む時には周りに注意を払いましょう。
パスワードを人目につくところに置かない・書かない
パスワードを書いた紙をパソコンのモニターに張り付けるなんてやってしまいがちですが、もちろんセキュリティ上からはそんな行いはNGです。
パスワードを教えない
これはあるネットゲームの話ですが、ある日そのゲームの制作会社から〜の理由でパスワードを送って欲しいとユーザーにメールが送られてくるという事件がありました。
もちろんメールを送ってきた相手は制作会社などではなく、パスワードを盗んでやろうと目論む悪人の仕業です。
どんな企業であろうと、あなたに対して電話やメールでパスワードを聞き出すことは普通ありません。もしそんな電話やメールがきても絶対に教えず、まずその企業にあなたから電話をして確かめてみましょう。