「情報セキュリティ月間」(2月13日リリース)の中で、『会員サイトなどに登録・設定するパスワードは第三者が簡単に推測出来ないものにする』との提案を示しましたが、その実状やパスワードの作り方を教えて貰いたいとの依頼に可能な範囲で応えることにしましょう。
サイバー攻撃による情報流出が多発し、法人、個人を問わず、生命線をも脅かされかねない事態も発生しています。組織内部の不正行為やインターネットからのマルウェアの侵入によるものですが、何れも安易に作成・設定された「ユーザー名」と「パスワード」が盗取された結果によるものが多いようです。
Microsoftでは囮のFTPサーバを通じ、ありがちなユーザー名とパスワードの組み合わせを順番に試してパスワードを破ろうとする攻撃について情報を収集し、その結果を2009年11月27日に公表しています。
試行数カ月間における攻撃で狙われたユーザー名は「Administrator」を筆頭に、「Administrateur」「admin」「andrew」「dave」「steve」など権限名や人名を使ったものが多く、パスワード攻撃では「password」「123456」という安易なパスワードが標的となるケースが圧倒的で、次いで「#!comment:」「changeme」「F**kyou(英語の悪態表現)」「abc123」などが上位を占めているとのことです。
1回の攻撃で40万通り近くのユーザー名とパスワードの組み合わせが瞬く間に試されており、8~10文字のパスワードが狙われるケースが殆どだったとのことです。
しかし、たとえ10文字以上の長いパスワードであっても、辞書に載っているような単語を使っている場合、一部を数字や記号などに置き換えていたとしても安全とはいえないと警告しています。
こうした攻撃に遭ってパスワードを破られないためには、数字と文字と特殊記号、大文字と小文字を組み合わせた長いパスワードを作ることが望ましいとMicrosoftは言い、同社が提供しているパスワードチェッカーのページで、自分が作ったパスワードの強度を調べるよう勧めています。
また、このページ右サイドに関連リンクがあり、「強力なパスワード:その作り方と使い方」がありますので、これも参考にして下さい。
一方、米国のセキュリティ企業のMcAfeeは、自分には覚えやすいが他人には推測されにくいパスワードの作り方(アルゴリズム)を次のように指南しています。
***** McAfee の指南内容**************************************************************************************************************************************
例えばオンラインバンキング、オークション、SNS(Social Networking Service)などのサイトで、全て同じパスワードを使っていた場合、一つのWebサイトからパスワードが流出すれば、自分の全アカウントに侵入される恐れがある。
パスワードはWebサイトが保有しているものであり、それを使う個人が保有しているものではないという認識が大事。
辞書に載っている単語や、「123456」などの誰でも使うパスワードは簡単に破られてしまうが、覚えにくいパスワードを作っても、それを書き留めたメモをコンピュータの近くに置いておくのも盗み見されるので良くない。
そこで、推測されにくく、自分には覚え易いパスワードをサイト毎に作る方法として、一つのアルゴリズムを決める。
例として、「light」という単語をベースに「mcafee.com」のサイト用のパスワードを作成するとすれば、
つまり、パスワードを
123lightmacafee
にしようと考えたなら、
①「123」という数字で始め、それに「light」の「i」を「1」という数字に入れ替えて末尾を大文字にした「l1ghT」を付ける。
②キーボードで「mcafee」の各文字の左上にあるキーを拾って「jdqr33」を加える。
③最後に、特殊記号の「^!」を付ける。
④これによって、「123l1ghTjdqr33^!」という16文字のパスワードが出来上がる。
アルゴリズムはどんなものでも構わないが、パスワードには必ず数字と大文字・小文字を組み合わせた文字及び特殊記号を含めた方がいい。
優れたアルゴリズムを使えば、サイト毎に推測されにくいパスワードを作ることができ、ユーザー自身は覚えやすいものとなるので、紙に書いたりして持ち歩く必要もなくなる。
情報システム管理者からパスワードの定期的な変更を要求されている場合は、「基本となる単語(上記例では“l1ghT”)」のみを書きとめておけば、万一他人に見られたとしても、アルゴリズムが分からないので推測される恐れがない。
*******************************************************************************************************************************************************************
Web上の会員サイトに登録するとき、つい面倒になり、単純なユーザー名、パスワードを設定しがちです。
マルウェアの侵入、フィッシング詐欺メールの受信など、危険は計り知れない程に溢れています。
Webに参加する者の社会的責任として、Microsoft社やMcAfee社の勧告通り、自分なりのアルゴリズムを構築し、より安全なユーザー名、パスワードの設定を心掛けたいものです。
【用語解説】
アルゴリズム(Algorithm)とは、数学、コンピューティング、言語学などの分野で、問題解決のために定める定型的、効率的手順をいう。平易には、何かをするときの「やり方」と言うことができる。
