心配させるつもりはありませんが、実は心配させてしまうんです。もしパスワード戦略をお持ちなら、それはかなり時代遅れになっているかもしれません。ここ数ヶ月、大手オンラインサービスに対する複数の攻撃が報じられ、ユーザーのパスワードが漏洩しました。例えば、2012年6月には、LinkedInのパスワード600万件以上が盗まれ、オンラインに投稿されました。それからわずか1ヶ月後には、Yahoo!のパスワード45万件以上が漏洩しました。パスワードが公開されることによる直接的な被害に加え、これらのセキュリティ侵害は、非常に多くの人が危険なパスワード管理方法を採用しており、それがさらに深刻な問題につながる可能性があることを明らかにしました。
最近、パスワードの作成と使用方法を見直していないなら、今こそ自分の思い込みを見直す良い機会です。ここでは、パスワードに関する、あなたが気づいていないかもしれない重要な事実と、それがあなたにとって何を意味するのかをご紹介します。
パスワードの再利用は大きな危険である
ご存知の通り、毎回別のウェブサイトやオンラインサービスから新しいパスワードの作成を求められます。面倒なので、多くの人が近道に頼ります。しかし、こうした近道はトラブルの元になりかねません。例えば、複数のサイトで同じパスワードを使い回すという、よくある習慣を考えてみましょう。
LinkedInアカウントに登録し、以前Gmailアカウントに設定したのと同じパスワードを使用したとします。そして6月、あなたは不運にもLinkedInのパスワードが漏洩した一人になってしまったのです。あなたのLinkedInパスワードを知った野心的なハッカーは、他の人気サービスでも簡単にパスワードを試すことができたはずです。そうなれば、あなたのGmailアカウントへのアクセスは突如として容易なものになってしまいます。これは、誰かがあなたのメールを読んだり削除したりできるというだけでなく、あなたがGmailアドレスを使って他のパスワードにアクセスしたりリセットしたりする可能性があるため、問題となります。ハッカーが別のサイトで「パスワードを忘れた場合」のリンクをクリックすれば、あなたのメールをチェックして、他のパスワードを使用しているアカウントにアクセスできてしまうのです。このように、同じパスワードを2か所で使い回しているだけでも、連鎖的な問題を引き起こす可能性があります。
パスワードの使い回しを防ぐ最良の方法は、1Password(
、40ドル)やLastPass(、無料、プレミアムサービスは年額12ドル)などのパスワード管理ツールを使うことです。これらのツールは、パスワードを自動生成し、安全に保管し、ウェブサイト上でクリックまたはキー入力するだけで入力できます。これにより、サイトやサービスごとに異なるパスワードを管理する手間が省けます。
ハッカーはあなたのちょっとしたパスワードトリックを知っている
新しいパスワードを作る必要に直面した場合、パスワードの使い回しに次いで有効な手段は、覚えやすく入力しやすいパスワードを選ぶことです。盗難されたパスワードのリストやその他のセキュリティ調査が示すように、多くの人が依然として「123456」「password」「baseball」といった単純な文字列を使用しています。つまり、これらや次に多い数千のパスワードは、ハッカーがアカウントへの侵入を試みる際に最初に試すものとなるのです。辞書に載っている一般的な単語、名前、日付なども簡単に確認できるため、避けるべきです。
一般的な単語に数字を付加する(「password1」や「baseball9」など)のは、「数字を含める必要がある」という規則に従うためによく使われる方法です。また、「p@ssw0rd」や「b4s3b411」のように文字を数字や記号に置き換えたり、「edcrfvtgb」のようにキーボードのキーのパターンを使用したりすることもよくあります。問題は、ハッカーがこうしたテクニックをよく知っていることです。誰かがより強力なパスワードを作成する新しい方法(短いパスワードに句読点を繰り返して埋め込むなど)を発明すると、ハッカーはそれに応じて方法を適応させ、新しい方法の利点をすべて消し去ってしまいます。したがって、パスワードを保護するために賢さを期待してはいけません。「1d0ntkn0w」を推測するのは「Idontknow」を推測するよりも数ミリ秒長くかかるかもしれませんが、覚えておいてください。あなたは、瞬く間に考えられるあらゆる置換を行うことができる機械と対峙しているのです。
パスワードは、たとえ自分より賢い人でも推測できないようにしたいですよね?そのための最善の方法は、大文字、小文字、数字、句読点を含むランダムな文字列にすることです。しかし、人間が真にランダムなパスワードを作成するのは非常に困難ですが、コンピューターなら簡単に作成できます。つまり、ここでも、自分の頭で考えるのではなく、パスワードマネージャーに頼るのが最善策です。
14は新しい8
攻撃者があなたのアカウントに侵入しようと決意し、辞書に載っている単語や一般的な変化形を確認するなどの簡単で迅速なハッキングが失敗したとします。その場合、どうなるでしょうか? 次のステップは、ブルート フォースを使用して、可能性のあるすべてのパスワードを 1 つずつ試すことです。残念ながら、この手法を使用して一致するものを見つけることはますます簡単になっています。数年前には、かなり強力なシステムであれば、1 秒あたり 100 万個のパスワードの可能性があるパスワードをチェックできると思われていました。今日では、市販の PC 1 台で 1 秒あたり数十億個のパスワードをチェックでき、コンピューター ネットワークではその何倍ものパスワードをチェックできます。多くのシステムには、パスワードの推測頻度を制限したり、一定回数間違えるとシャットダウンしたりする安全策が講じられています。しかし、攻撃者がパスワードで保護されたデータに直接アクセスでき、いわば「正面玄関」を通過する必要がなくなると、それらの安全策は意味をなさなくなります。
その結果、これまで読んだ安全なパスワードに関するアドバイスはもはや通用しなくなる可能性があります。例えば、ブルートフォース攻撃から保護するためには、ランダムな8文字または9文字のパスワードではもはや不十分です。専門家は現在、より長いパスワード、多くの場合12文字から14文字程度のパスワードを推奨しています。これはコンピューターによってランダムに生成されるパスワードの場合です。手動で作成するパスワードは、同等の強度を得るためには、ほぼ常により長くする必要があります。
どのパスワードマネージャーでも、パスワードの長さを選択できます。アプリで自動入力できる(またはコピー&ペーストできる)パスワードの場合は、対象のサービスで受け付けられる最長のパスワードを使用することをお勧めします。9文字のパスワードを入力するのと同じキー操作で、14文字のパスワードも入力できるのですから。
もちろん、記憶しなければならないパスワードや、何らかの理由で手動で入力しなければならないパスワードもあります。そのようなパスワードの場合は、より長くてもそれほど複雑ではないパスワードを使用することで、同等のセキュリティレベルを実現できます。この原則については、今週後半に「パスワードの記憶方法」で解説します。
