恐ろしいパスワードの海をナビゲート。
ステップ1:敵を知る
ユーザーのパスワードに対する攻撃は、さまざまな形や大きさで行われます。強力なパスワードを作りたいのであれば、まずはどのような手口でパスワードが盗まれるのかを知ることが大切です。ここでは、サイバー犯罪者が銀行口座や個人の電子メール、ソーシャルメディアのプロフィールにアクセスする主な方法をご紹介します。
ほとんどの場合、攻撃者は侵害されたパスワードデータのコレクションにアクセスします。これらのパスワードはハッシュ化されていることがほとんどですが、その中にある平文の認証情報を明らかにすることは難しくありません。いったんデータ侵害が発生すると、流出した情報は一般に公開され、今後も消えない可能性があります。このような情報漏洩によって自分のデータが公開された場合、直ちにパスワードを変更し、何らかの形で多要素認証を有効にすることが最善の対策となります。一般的に、パスワードセキュリティガイドでは、2段階認証を有効にすることを推奨しています。
これは、パスワードがいかに早く解読されるかを示したものです。
この動画は2016年に公開されたものであることを念頭に置いておく必要があります。コンピュータの性能、特にグラフィックカードの性能は大幅に向上していますが、残念ながら平均的なユーザーのパスワードの選択は、こうした急速な進歩に追いついていないようです。
ブルートフォース・アタック
十分な時間があれば、十分な数のチンパンジーがあなたのパスワードをブルートフォース攻撃します。
ブルートフォース攻撃とは、悪意のある行為者が、ユーザー名に一致するパスワードを決定するまで、可能な限りの文字、数字、記号の組み合わせをテストしようとするものです。5桁のパスワードに対するブルートフォース攻撃の例としては、攻撃者が次のように試みます。
aaaaa … mmmmm … zzzzz
これらの攻撃は、数字や特殊文字を使用しない短いパスワードに対して高い確率で成功します。幸いなことに、この種の攻撃は、文字、数字、大文字、小文字、特殊文字を組み合わせた長いパスワードを作成することで軽減することができます。
辞書攻撃
RockYouのデータ流出では、3200万件以上のパスワードが平文で流出しました。このリストはKali Linuxに標準で搭載されています。
辞書攻撃は、より洗練されたブルートフォース攻撃で、選択された辞書単語リストを使用して、アカウントのパスワード候補をテストします。パスワードにこれらの辞書に載っている単語が含まれている場合、例えば、主流のハッキング Linux ディストリビューションにデフォルトでインストールされている単語リストのように、これらの攻撃を受けやすくなります。もしあなたのパスワードがこの辞書に載っていたら、今すぐ変更してください。
フィッシング攻撃
フィッシング攻撃は、アカウントユーザーを直接狙う、よく知られた効率的な情報収集手法です。信頼できる情報源やウェブサイト、IT管理者から送られてくる巧妙に偽装されたリンクから、有効なログイン情報に素早くアクセスすることができます。このような攻撃がいかに簡単に構築できるかを示す好例が、NetworkChuckのビデオチュートリアルにあります。
フィッシング攻撃は電子メールに限らず、電話、SMS、VoIP、そしてWhatsAppやSignalなどのメッセージングサービスにも進出しています。攻撃者が特定の個人を狙っている場合、スピアフィッシングと呼ばれるこのような攻撃は、手遅れになる前に発見することがより困難になります。
フィッシング攻撃に対抗する最善の方法は、常に警戒することです。電子メールのリンクをクリックしたり、予期せぬメールの添付ファイルを開いたりしないでください。銀行から、お客様の口座に緊急の対応を求める自動返信メールが届いた場合は、それが本当に銀行からのメールなのかどうかを常に疑いましょう。対策が必要と思われる場合は、新しいブラウザタブを開き、銀行のウェブサイトから直接ログインしてください。
中間者(Man-in-the-Middle)攻撃
お気に入りのコーヒーショップの無料WiFiにログインすることはよくありますか?気をつけないと、スターバックスでの信頼できる接続ではなく、不正なアクセスポイントにデバイスを接続してしまうかもしれません。中間者(Man-in-the-Middle)攻撃は、あなたのデバイスと実際のアクセスポイントの間に立ち、自分ではない誰かのふりをします。このような偽のネットワークは、ユーザーがアクセスポイントを介して送受信するトラフィックを盗聴・記録することができ、その中には暗号化されていないパスワードが含まれます。
強力なパスワードの作成方法
ステップ2: 強いパスワードとは何か、どうやって作るのか?
良いことです。
強力なパスワードは、ブルートフォースを受けないように十分な長さが必要です。少なくとも12文字の長さで、文字、数字、特殊文字が混在していなければなりません。また、これらの数字や特殊文字を一般的な方法で使用しないことも重要です。oを0に、eを3に置き換えただけでは、銀行口座のログイン情報を盗もうとしている人を欺くことはできません。
辞書攻撃を防ぐために、ランダムな単語を使用する場合は、お互いに関連性のない単語を使用してください。また、数字をランダムな間隔で混ぜたり、単語の前、間、後とは限らないようにすると、さらに解読が難しくなります。例えば、“B?r!d7sDri%&veP._otat!oC?8ches “は、“BirdsFly “よりも辞書攻撃で解読される可能性は低くなります。
“B?r!d7sDri%&veP._otat!oC?8ches “が解読される可能性は低いかもしれませんが、もし私がフィッシングリンクに引っかかったり、中間者攻撃に巻き込まれたりした場合、ヒューマンエラーがこれまでのステップで得られた数学的な優位性を打ち消してしまいます。
繰り返しになりますが、強力なパスワードを作るには
- 最低でも12文字を使用する
- 大文字、小文字、数字、特殊記号を使用する。
- 辞書に載っている言葉を使わない
- 予測可能な方法で特殊文字を使用しない(H3lloやPa$$word)。
この新しいパスワードをどうやって覚えておくかについては、後で説明します。
悪い点
あなたのパスワードがHaveIBeenPwnedで検索して表示されたら、すぐに変更してください。Pwned Passwordは無料でダウンロードでき、世界中のアカウントへの不正アクセスに利用されているのは間違いありません。
平均的なコンピュータですぐにブルートフォースされてしまう単一の単語を使わないことが重要です。カスペルスキーのPassword Checkerによると、「agodpassword」というパスワードは2日でブルートフォースされ、すでに107件のデータ漏洩事件に登場しています。o」を「0」に置き換えても、このパスワードは2日間で解読されてしまいます。興味のある方は、ぜひ試してみてください。
このようなサイトで実際のパスワードを試すことはお勧めしませんが、異なる組み合わせがパスワードの強度にどのような影響を与えるかを見るのは興味深いことです。
また、パスワードには、初めて飼ったペットや結婚記念日、生まれ育った街など、個人を特定できる情報を含めないようにしましょう。これらの情報は、簡単なソーシャルエンジニアリングやFacebookのページを見ればすぐに手に入ります。つまり、“amy&bob4ever1997 “という名前は不適切な選択なのです。上記の強力なパスワードチェッカーによると、ブルートフォースされるまでに「12世紀」かかるかもしれませんが、特別な日に投稿された写真でいっぱいのあなたの公開ソーシャルメディアページにアクセスすれば、その時間は大幅に短縮されます。
醜いもの
パスワードの中には、残念ながら一生消えないものがあります。以下のリストは、NordPass.comによると、最も一般的なパスワードのトップ10です。これらのパスワードを使用している場合は、できれば昨日中に変更する必要があります。
2020年からの最も一般的なパスワードのトップ200は[こちら](https://nordpass.com/most-common-passwords-list/)で確認できます。
ステップ3:認証情報を安全に保つ
数字、大文字、特殊文字を含む12文字以上を使用し、辞書に載っているような言葉やわかりやすい場所に数字を置くことを避けて、強力なパスワードを作成する方法がわかったところで、この巨大なパスワードをどうやって覚えておくのかという疑問がわいてきます。
一つの簡単な方法は、ニーモニック・パスワードを使うことです。例えば、「The duck ran from the one dog while eating 5 purple carrots」のような覚えやすい長文を作ると、「Tdr/n4rom1d00gWe5Pur%Ca&」のようなパスワードに短縮できます。これは24文字で、数字や特殊文字も含まれており、一見すると無意味な文章に見えますが、不思議と元の文章を覚えることができるのです。これは、数学の授業で演算の順番を覚えようとしたときに使ったテクニックと同じです。親愛なるサリーおばさんを許してください」という言葉は、今でも多くの人の記憶に残っているのではないでしょうか。
付箋を貼る
中規模から大規模のオフィスビルに入ると、誰かがパスワードを書いて、鍵のかかっていない机の引き出しに入れていることがあります。これは決して安全なセキュリティ方法ではありません。怠慢が原因で会社全体のセキュリティ侵害につながることのないようにしましょう。
IT担当者は、ユーザーがネットワークへの不要なアクセスに対する最初の防御線であることを認識することが重要です。今回のような失敗を防ぐためには、従業員に対する適切なトレーニングが重要です。ITチームは、ユーザーと協力して企業データへの脅威に立ち向かう必要があります。ランサムウェアに感染してしまった場合の被害に比べれば、無害なフィッシングメールを何度も報告されても、迷惑にはならないでしょう。
パスワードローテーションポリシー
ユーザーが認証情報を簡単に発見できる場所に書き込んでしまう主な原因は、時代遅れのパスワードローテーションポリシーを推奨していることです。幸いなことに、このような時代は終わり、NISTはもはやこのような強制的なパスワードローテーションを推奨していません。このようなポリシーにより、ユーザーはわずかなバリエーションしかないシンプルなパスワードを選択することが多くなります。このようなパスワードの選択は、ブルートフォースが容易であったり、新しい認証情報を思い出すことが困難なために、ユーザがパスワードを書き留めて安全でない状態で保管することにつながります。
パスワードは、情報漏洩が発生した場合や、誤って公開してしまった場合、あるいはユーザが忘れてしまった場合には、変更する必要があります。
パスワードを再利用しない
パスワードを再利用することは、悪意のある行為者にとって、侵害されたFacebookアカウントから銀行口座へと移動する最も簡単な方法です。パスワード(およびユーザー名)をサービス間で使い回さないことが重要です。難しいと思われるかもしれませんが、複数の強力なパスワードを簡単に管理するためのさまざまな方法があります。
2021年用のクリエイティブで賢い新しいパスワード」を提供するウェブサイトは数多くありますが、ネット上で見かける既存のパスワードやユーザー名(この記事で紹介したものも含む)を選ぶのはセキュリティ上のリスクがあります。
良いパスワードとは、トイレットペーパーのように、強力で一度しか使わないものであることを忘れないでください。
ブラウザにパスワードを保存する
パスワードを保存する方法のひとつとして、Firefox、Chrome、Safariなどのインターネットブラウザにパスワードを保存する方法があります。これらのパスワードの多くは、アカウントにリンクされており、デバイス間で同期することができるため、パスワードを交換する際に便利です。
ただし、誰もが自分のデバイスにアクセスできないという保証がない場合は、この方法はお勧めできません。環境設定ウィンドウにアクセスすると、保存されたパスワードの全リストが平文で保存されており、世界中の人が見ることができます。これは理想的ではありません。
パスワードマネージャ
パスワードをより確実に保存するには、パスワードマネージャーを利用する方法があります。このブログでは説明しきれないほど多くのパスワードマネージャーが存在します。パスワードマネージャーは、さまざまなログイン情報を一元的に保存し、(理想的には)すべてのデータを暗号化します。デバイスが盗まれた場合、パスワードマネージャーのロックを解除しない限り、これらのパスワードやユーザー名を発見することはできません。
これらのプログラムには、人間の記憶力では考えられないようなランダムなパスワードを作成して保存することができるパスワードジェネレータが含まれています。これにより、その場で強力な新しいパスワードを考える手間が省けます。
パスワードマネージャーを使用する場合は、強力なパスワードを作成することが絶対に必要です。このパスワードは、あなたのデジタルライフ全体をロックする鍵のようなものであり、そのように扱われるべきです。幸いなことに、これらのプログラムの多くは多要素認証をサポートしており、あなたのデータをさらに保護することができます。
どのオプションがベストかという議論はしませんが、ここではいくつかの人気のあるパスワードマネージャーとそのウェブサイトへのリンクをご紹介します。
これらの中には、無料のオープンソースもあれば、サービスを利用するためにサブスクリプションが必要なものもあります。また、MacやLinuxをお使いの方は、ログイン情報を保存できるキーチェーンプログラムがデバイスにプリインストールされています。これらは便利な機能ですが、サードパーティのパスワード管理ソリューションほどの暗号化されたセキュリティを提供するものではありません。
安全にブラウジングをお楽しみください。
以上の手順で、より強力なパスワードを作成し、お好みのパスワードマネージャーを使って安全に保管すれば、デジタルターゲットとしての地位をより強固なものにすることができます。サイバーセキュリティに関しては、絶対に安全というわけではありませんが、悪意のあるアクターがターゲットを選んでいる場合、強力なパスワードと多要素認証を備えたあなたのアカウントは、はるかに魅力的ではなくなります。
これらのヒントを参考にして、デジタルセキュリティを強化し、オンラインアカウントと個人情報が保護されていることに自信を持ってネットサーフィンをお楽しみください。
**また、Eメールセキュリティガイド**もご覧ください。電子メールアカウントがオンラインアイデンティティの入り口であること、そしていくつかの賢い選択をすることでオンラインセキュリティをさらに向上させることができることを説明しています。