強力なパスワードが重要な理由
強力なパスワードは、お使いのオンラインアカウントを不正侵入から守る重要なバリアです。サイバー犯罪者が数時間以内で簡単に推測できるようなパスワードを、使用していませんか。個人情報の盗難などの危険から身を守るため、パスワードを盗む最新の手口に対抗できるパスワードを作成する必要があります。
弱いパスワードが設定されたパスワードを放置すると、そこから不正侵入される危険があります。強力なパスワードを設定し、そのような被害を防ぎましょう。
パスワードのセキュリティ脅威
パスワードが漏洩すると、サイバー犯罪者は、ユーザーの個人アカウントにアクセスできるようになります。サイバー犯罪者が見つけ出すことが困難なパスワードを設定しなくてはなりません。
サイバー犯罪者の裏をかくようなパスワードを、作成しようとする人もいるでしょう。このようなパスワードは、以前はデータ窃盗に対抗する有効な手法の1つでした。今ではサイバー犯罪者はパスワードを推測するために、ユーザーに関して得られたあらゆる情報と、パスワードの一般的なパターンを利用します。以前は、パスワードの文字を替えて、「Trick」を「Tr1Ck」にするだけで、セキュリティを確保できましたが、サイバー犯罪者もそれに気づいています。
現在、サイバー犯罪者は、最新の技術を使用してパスワードを取得します。人間が推測することが困難なパスワードを作成しようとしても、最新のアルゴリズムで解析されてしまう可能性があります。サイバー犯罪者が利用するソフトウェアは、ユーザーがパスワードを推測する際の行動を踏まえて設計されています。
ここでは、サイバー犯罪者がアカウントに不正侵入するために利用する方法をいくつか紹介します。
辞書攻撃:辞書の単語を一般的な方法で組み合わせる自動化プログラムを利用します。ユーザーは覚えやすいパスワードを作成するので、この手口では、推測が容易なパスワードのパターンに沿って解析されます。
SNSおよび公開されている個人情報:特定のユーザーを標的にするために利用されます。パスワードには一般的に、名前、誕生日、好きなスポーツチームの名前などが含まれていることがあります。このような情報の大半は、標的となるユーザーのSNSを閲覧するだけで明らかになります。
総当たり攻撃:自動プログラムを使用して、パスワードを発見するまで、繰り返しあらゆる可能性の文字の組み合わせを作成します。辞書攻撃とは異なり、総当たり攻撃の手口では、長いパスワードはうまく扱えません。ただし、短いパスワードでは、場合によっては数時間以内で簡単に発見できます。
フィッシング :ユーザーを騙して、金銭や大事な情報をサイバー犯罪者に提供させます。サイバー犯罪者は通常、信用のある企業やユーザーが知っている人などのふりをして、ユーザーに電話をかけたり、テキストメッセージやEメールを送信したり、SNSにメッセージを投稿したりします。また、不正アプリ、ウェブサイト、偽のSNSのプロフィールを利用する場合もあります。フィッシング攻撃に対する保護が必要な場合は、カスペルスキーセキュリティの利用をお勧めします。
過去のデータ漏洩:すでに多くのパスワードや他の機密情報が漏洩しており、企業がハッキング被害を受ける頻度も高まっています。オンラインでは、サイバー犯罪者によって盗まれたあらゆるデータが公開され、販売されています。したがって、古いパスワードを使いまわしている場合、そこからアカウントに侵入される可能性が非常に高くなるため、特に危険です。
強力なパスワードの作成方法
最新の不正侵入の手口から身を守るには、強力なパスワードが必要になります。ここでは、強力なパスワードを作成するためのヒントをいくつか紹介します。
1. 十分な長さはあるか?少なくとも10~12文字使用し、可能な限り長くするようにします。
2. 推測は困難か?連続的な文字(12345、qwerty)を使用すると、総当たり攻撃で数秒以内に見破られるため、避けるようにします。また、同様の理由から一般的な単語(password1)は避けるようにします。
3. 多様な文字の種類を使用しているか?パスワードには、小文字、大文字、記号、数字をすべて含めるようにします。文字の種類が増えると、パスワードの推測が困難になります。
4. わかりやすい文字の置き換えは避けているか?たとえば、文字の「O」の代わりに数字のゼロ「0」を使用することがよくありますが、現在、サイバー犯罪者はソフトウェアにこれに対抗するコードを組み込んでいるため、このような置き換えは避けるようにします。
5. 一般的でない単語の組み合わせを使用しているか?予想できない単語を使用すると、パスフレーズの安全性が高まります。たとえ一般的な単語を使用している場合でも、単語を不自然な順序に変更することも考えられます。単語が相互に関係がないことを確認してください。いずれの方法でも、辞書攻撃に対処することができます。
6. 記憶できるか?ユーザーには意味がわかっているが、コンピューターには推測が困難なものを使用します。ランダムなパスワードでも、何度も入力して体で覚えたり語呂合わせなどを作ったりして記憶することができます。ただし、難しすぎると忘れてしまいログインできなくなるため、注意が必要です。
7. パスワードを使いまわしていないか?パスワードを使いまわしていると、いったん不正流出した場合、同じパスワードのアカウントにすべて侵入されてしまう危険があります。パスワードは他のサービスで使っていないものを作成するようにします。
8. コンピューターが推測しにくいルールを使用しているか?例として、パスフレーズに4文字の単語を3つ使い、各単語の最初の2文字をそれぞれ数字と記号に置き換えます。例えば「treecagesing」の場合は「?4ee#2ge?6ng」に置き換えます。
安全なパスワードの例
一般的に、信頼性の高いパスワードを作成するには、主に2つのやり方があります。
パスフレーズ:パスフレーズは複数の実際の単語の組み合わせがベースになっています。一般的な単語の文字を入れ替えてランダムな文字を混在させることで安全性を高めることができ、以前は「trick」の場合は「Tr1Ck」、「basketball」の場合は「84sk37b4LL」などの方法が使用されてきました。しかし、この手法はすでに知られすぎているため、現在では、一般的に強度が高いとされるパスフレーズは、「無関係な一般用語を意味のない順序で組み合わせたもの」が使われています。ユーザーのみが知っているパターンを使用して、文を切り分けて入れ替えることも考えられます。
パスフレーズの例として、「coW!burN#movE?pianOh」などが考えられます(cow、burn、move、pianoの単語を使用)。
パスフレーズは次の理由で効果的です。
- 覚えやすい。
- 辞書攻撃や総当り攻撃を回避できる。
ランダムな文字列:ランダムな文字列は純粋にランダムで、すべての文字タイプを混在させて使用します。これらのパスワードには、大文字、小文字、記号、数字をランダムに含めます。文字の配置に規則性がないため、推測は非常に困難です。ハッキングソフトウェアを使用しても、パスワードを見つけるのに1兆年かかるかもしれません。
ランダムな文字列の例として、「f2a_+Vm3cV*j」が挙げられます。これは、語呂合わせの「fruit 2 apple _ + VISA music 3 coffee VISA * jack」を使用して記憶できるかもしれません。
ランダムな文字列は次の理由で効果的です。
- 推測がほぼ不可能。
- ハッキングが非常に困難。
- 反復や語呂合わせで覚えることができる。
強力なパスワードの例
ここでは、強力なパスワードの作成に役立つ例をいくつか紹介します。
強力なパスワードを作るときのヒントにしてください。
例1:IwiCcR!fOdIiNkE?
強力だと考えられる理由:
- 「I want ice cream! for dinner in Kentucky?」というパスフレーズを使用している
- 各単語の最初の2文字をそのまま残し、それぞれの単語の2文字目を大文字にするルールを使用している。
- ○14文字と長い。
- 特殊文字の「!」と「?」を使用している。
- 大文字と小文字が含まれている。
改善点:
- 文字を追加して、さらに長くする。
- 数字を追加する。
- 例:IwiCcR!7fOdIiNkE?6
例2: !HMnrsQ4VaGnJ-kK
強力だと考えられる理由:
- パスワードジェネレータを使用してランダムに生成されている。
- ○16文字と長い。
- 特殊文字の「!」と「-」を使用している。
- 大文字と小文字を使用している。
改善点:
- 語呂合わせで覚えられるようにする。
- 例: !HULU MUSIC nut rope skype QUEEN 4 VISA apple GOLF nut JACK - korean KOREA
例3:rageducksimplemoon
強力だと考えられる理由:
- パスフレーズがベースで、複数の一般的な無関係な単語を使用している。
- ○18文字と長い。
改善点:
- 大文字、小文字、記号、数字などの各種文字を使用する。
- 一部の文字を他の種類に置き換える。
- 例:!Age#Uck?Imple3Oon (使用するルール:各単語の2文字目を大文字、最初の文字をそれぞれ記号に置き換える)
パスワードの管理方法と記憶方法
パスワードの数が非常に多くなると、パスワードを保存する方法にも注意を払う必要があります。
安全のため、以下の行為を行ってはいけません。
- パスワードを紙にメモする。
- パスワードを携帯電話のメモアプリに保存する。
- ブラウザのパスワード自動入力機能に保存する。
また、以下の対策を行うことをお勧めします。
2要素認証を有効にする。これは、パスワードの入力が成功した後に行われる、追加のセキュリティチェックです。ユーザーのみアクセスできるEメール、テキストメッセージ、生体認証(指紋やFace IDなど)、USBセキュリティキーなどの方法を利用します。2要素認証を使用すると、たとえパスワードが盗まれた場合でも、サイバー犯罪者からアカウントを守ることができます。
パスワード管理ツールを使う。カスペルスキー パスワードマネージャーなどのパスワード管理ツールを使用します。パスワード管理ツールを使用すると、情報が暗号化された状態で保存され、インターネットのある場所なら場所を問わずアクセスできるようになります。一部の製品には、パスワード生成機能やパスワード強度チェッカーが組み込まれているものもあります。
