あなたのパスワードは安全ですか?パスワードとセキュリティの大切な話。


みなさんパスワードを決めるときにこんなこと言われませんでしたか?
「パスワードは大文字と小文字を混ぜて数字も入れて複雑にしましょう」
そう、パスワードは複雑なほど強いんです!

なーんて話が実は意味なかったっていう記事が出てました
パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める

ということは、Wordpressが提案してくれているあの何回すぎるパスワードも意味が無かったのかぁ!!
img
お客さんからはパスワードが難しすぎるとクレームが来ることもしばしば。

「いえいえ、パスワードは難しいほど破られにくいんですよ!はっはっは!」
と言っていた僕はどうすればいいのか。

パスワードに対する攻撃方法

パスワードを破るために行われる攻撃っていうのは

  • ブルートフォースアタック(総当たり)
  • 辞書攻撃

がある。

ブルートフォースアタック(総当たり)

これはすごくわかりやすい、暗号を全て試して正解が出るまで試すっていうものです。
自転車のダイヤルロックの番号を忘れても0000から9999まで全て試したらいずれ外れる。
castle-834773_1280
まさにそれです。

さすがにアルファベットとか数字が混じったパスワードは人間が一つ一つ試すのは現実的ではないけれど、
コンピューターにやらせれば膨大なパターンを一瞬で回せてしまう。
組み合わせの問題なのでそれぞれ100パターンずつあれば、4桁だと100の4乗で100,000,000、つまり1億通り。
それが8桁になると10,000,000,000,000,000で1京という組み合わせを試すことになりますね。
だから文字数が多ければ当てるまでに時間がかかるので、パスワードは文字数が多い方がいいというのはわかると思います。

辞書攻撃

インターネットとかコンピューターの普及でパスワードを使うことが多くなったので、
みなさんのリテラシーも上がって意味のあるパスワードをつけることは少なくなってると思います。
でもかつては、もしかすると今も一定数の人はペットの名前とか住所の一部とかを使ってパスワードを作ってるかもしれない。
ブルートフォースアタックはパターンを全て試すことになるので効率的とは言えない。
辞書攻撃っていうのは、あらかじめみなさんが使いそうな単語とかをデータベースに登録してあって、それを片っ端から試してみる。
安易なパスワードだと簡単に破られてしまいます。
「123456」「password」なんかは瞬殺です。
これ、危ないパスワードランキングの1位と2位ですw。
結構危うい人見うけますけどねぇ・・・気を付けましょう。

こんなのは危険です

これからAIとかで監視されだしたら、意図をもってつけたパスワードは簡単に破られるんじゃないかと思います。
AIによって、この人は「こんなパスワードを使う可能性がある」みたいなリストができて、
それを辞書攻撃されて一瞬で破られるとかね。
恋人の名前とか、ペットの名前とか、SNSで出してる情報を分析されたらばれちゃうとか。
人の意図が入らないように、コンピュータに任せる完全ランダムなパスワードを使う方がいいと思います。

こんなところとか、
パスワード生成サービス

あと、むちゃくちゃ危険なのがパスワードの使いまわし。
パスワードの使いまわしは使う場所が増えれば増えるほどリスクが上がります。
100個のサービスに同じパスワードを設定していたら、
もしその100個のうち一つでもパスワード漏洩したら残りの99個も危険。
漏洩したパスワードを使って辞書攻撃されたら一瞬で突破されます。

1つしかパスワード設定していなければ、たまたまそこがパスワード漏洩しないと破られる可能性は低いし、
もし漏洩してもその1つのサービスだけで済みます。

もし、100個のサービスで同じパスワードだと、漏洩する可能性が100倍になるし、
漏洩したときのリスクも100倍ってことになる。

ということで、パスワードの使いまわしはむちゃくちゃ危険なのでしないように。
銀行とかネットショップ用アカウントとか、特に重要なものは完全に独立させておくようにしましょう。

今すぐ2段階認証を取り入れよう

最近はネット上に重要な情報がたくさんあるので、それに対する攻撃もますます激しくなってます。
ネットリテラシーの低い人から被害にあっていくのは間違いなくて、セキュリティのことは少なからず気にするようにしておきましょう。

で、最近はパスワードだけでは100%安全とは言い切れないので、2段階認証というものが使われます。
IDとパスワードはこれまで通りあるのですが、認証された後にもう1段階認証があります。
例えばあらかじめ登録しておいたスマートフォンにランダムな期限付き番号が発行されて、それを入力しないと入れません。
そのスマートフォンでないと認証用の番号はゲットできないので、自身のスマートフォン自体がカギのような役割をします。

2段階認証はもうすでにスタンダードになっていますが、まだまだ知らない人は多いと思います。
銀行のオンラインページなどは2段階認証を案内して強制的に移行しているところがほとんどです。

パスワードを破られて、そのままパスワード変更されたら今度は自分が入れなくなります。
Amazonや楽天などのネットショップアカウントはもちろん、
どのようなアカウントも乗っ取られてしまうと、それを犯罪に使われる可能性があります。

すでにパスワードというもの自体が時代遅れになってきていますね。
行動分析されると意外と簡単に破られるかもしれません。
あらゆるものがデータになるので、すでにそういう時代ですね。

という私も気をつけないければいけません。
自戒の意味も込めてこの記事書きました。