STOP! パスワード使い回し!
皆さん、こんにちは。
(株)マネジメント総研の小山です。
情報システムや端末、インターネット上のサービスを利用する際、IDとパスワードを用いて本人を認証するのが一般的です。
昨今、インターネット上のサービスでこの認証情報が漏洩し、悪用されるケースが増えています。
複数のサービスで、同一のパスワードを使い回すと、そのいずれかのサービスで認証情報が漏洩した場合、その認証情報を用いて、他のサービスへのログインが試みられ、不正にログインされ、被害に遭うおそれがあります。
そのような被害に遭わないように、認証情報の取扱いについて改めて見直していただければと考えます。
JPCERTコーディネーションセンターでは、以下の「安全なパスワードの条件」が掲載されています。
(1) パスワードの文字列は、長めにする(12文字以上を推奨)
(2) インターネットサービスで利用できる様々な文字種
(大小英字、数字、記号)を組み合わせると、より強固になる
(3) 推測されやすい単語、生年月日、数字、キーボードの配列順などの
単純な文字の並びやログインIDは避ける
(4) 他のサービスで使用しているパスワードは使用しない
攻撃する側にとって、パスワードを破るために費やす労力は、得られる成果よりも小さくなければ意味がありません。
例えば、数字4桁のパスワードと、英数8文字のパスワードを考えたとき、前者は「10の4乗」=「1万通り」のパターンを試すと破ることができ、後者は「(26+10)の8乗」=「2.8兆通り」のパターンを試す必要があります。
このように、パスワードのパターンを1つずつ総当たりで試す攻撃に対しては、文字種と桁数は多い方が安全であると考えられます。
(いわゆる総当たり攻撃、ブルートフォースアタック)
また、単語やキーボードの配列順などをパターンの1つとして組み込んで試行される攻撃手法もあります。
(いわゆる辞書攻撃、ディクショナリアタック)
その際、アルファベットや数字をよく似た文字・記号に置き換えるという方法も、予め推測されているおそれがあるため、安全とは言えません。
(例)「password」→「p@$$w0rd」
パスワードを使い回し、使い回していた他のサービスでアカウント情報(ID・パスワード)が漏洩した場合、上記のような「総当たり攻撃」や「辞書攻撃」によらず、認証を破ることができるため、攻撃する側にとっては、小さい労力でパスワードを破ることができると考えられます。
(いわゆるパスワードリスト攻撃、リスト型アカウントハッキング)
このような危険性を改めて認識するとともに、パスワードは正しい利用者であることを認証するために用いるという本来の目的に立ち返り、それが破られないように、ぜひ正しく設定し、管理するよう見直していただければと考えます。
なお、JPCERTコーディネーションセンターでは、パスワードの使い回しを控えるように広く呼びかけるため、「STOP! パスワード使い回し! キャンペーン 2018」が実施されております。
