ランダムなパスワードを生成して不正アクセスの被害を回避

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る
security_543

不正アクセスの防止には、英数字が混合の複雑なパスワードの利用が効果的です。

ただ、どんなパスワードを作ればいいのか迷うときがあります。そんなときは、ランダムなパスワードを自動生成してくれるツールを使うと便利です。

ツールによっては、文字数、強度、文字の種類を選択することができます。

ここでは、ランダムなパスワードを生成してくれるツール、そのパスワードが安全かどうかを確認する方法、さらに不正アクセスされにくいパスワード設定のコツをご紹介します。

パスワードに迷っている方、不正アクセスされたことがある方は必見です。

1. カンタンなパスワードは不正ログインされる?

カンタンなID・パスワードを設定していると、不正ログインされやすくなります。しかし、そもそも第三者から不正ログインされてしまう原因はなんでしょうか?多くはつぎの3つです。

1-1. IDとパスワードが見破られた

これは、いわゆる「総当たり攻撃」「辞書攻撃」というサイバー攻撃でログインされてしまったケースをいいます。それぞれどんな攻撃か解説します。

1-1-1. 総当たり攻撃

サイバー攻撃者がツールを使って、IDとパスワードをランダムで入力していき、合致したらログインされてしまうというサイバー攻撃です。

1-1-2. 辞書攻撃

こちらも同様にツールで、辞書に登録されている単語(たとえばappleなど)をすべて使って、ログインできるか試していく方法。

こういった攻撃を実行するツールは、いくつもの組み合わせをすさまじい速さで試行していきます。そのため、ありがちでカンタンな単語を使っていたり、文字数が少ないパスワードを使っていると、早ければ数分で特定されてしまうのです。

1-2. 他サイトで流出してしまった

他サイトで情報が流出してしまったり、悪質なサイトだと利用者のメールアドレスなどを、あえてほかの業者に売り払う場合があります。

流出するとそのID・パスワードの組み合わせが裏取引されたりして、さらにほかの業者にも拡散されてしまいます。とくに、ほかのサービスでも同一のID・パスワードを使用していると、被害が拡大します。

1-3. フィッシング詐欺サイトで誤って入力

フィッシング詐欺とは、悪意ある攻撃者が銀行などの本物そっくりのサイトを用意し、そこに利用者を誘導してID・パスワードを入力させて盗むという詐欺手法です。

本物と間違って入力してしまうと、その情報が悪意ある攻撃者に送信され、そのまま不正ログインに悪用されてしまいます。

security_186フィッシング詐欺の被害事例 - 手口と見分け方・対処法
気づかないうちにWebサイトのアカウントが乗っ取られたり、クレジットカード番号を盗まれたりする・・・それがフィッシング詐欺です。「個人情報が流出しました」などと...

これらの不正アクセスから大切な情報を守るためには、ランダムに生成したパスワードを利用することが一定の効果を発揮するのです。

2. 突破されにくい、強いパスワードとは?

第三者からの不正ログインを防ぐには、「強いパスワード」を設定することが先決です。では、強いパスワードとはどんな特徴を持つのでしょうか?

2-1. 英数字が混合するなど複雑で長い

パスワードがカンタンで短いと、「総当たり攻撃」でカンタンにパスワードを特定されてしまいます。そのため、英語や数字を混ぜて長くし、また可能であれば大文字小文字を混ぜたり、記号などを入れましょう。8文字以上が望ましいです。

2-2. よくある単語を使っていない

英語でパスワードを設定するというと、カンタンな単語からつくろうと考える方が多いです。たとえば「dog」や「cake」など、ありがちな単語を入れていませんか?このようなパスワードは、辞書攻撃により瞬殺で特定されてしまいます。

2-3. IDとパスワードを同じにしない

なかには、IDとパスワードを同一のものにしている方もいます。しかし、これももちろんすぐ特定されてしまいます。また、IDが「abc」でパスワードが「def」など、IDから連想できそうなものもやめましょう。

このような条件を満たすといえば、複雑で単語を含まない「ランダムなパスワード」です。では、どのようにランダムでつくればよいのでしょうか。つぎの項で説明します。

3. ランダムパスワードのカンタンなつくり方

セキュリティレベルが高く、第三者から突破されにくいパスワードといえば、長くてランダムな文字列です。その条件を満たすパスワードのつくり方をご紹介します。

3-1. パスワード生成ツールを使用

パスワードを自動生成してくれるツールを利用する方法です。文字数も指定できるので、文字数制限を気にする必要はありません。

3-2. 適当に打ち込んで作成

入力フォーム上で適当にキーボードを叩いてつくるという方法です。「@」「¥」など使用できない記号が入り込んでしまったら、その部分を削除するだけでOKです。

この方法で作成したパスワードは、長ければ長いほど突破されにくく、不正アクセスを防止する効果が高いです。さらに、可能であれば大文字小文字を混ぜるとよいでしょう。ただ、難点は覚えにくいことです。

強固なパスワードをつくっても、忘れてしまわないようにブラウザで保存したり、メモ帳に書き込んでおくことをおすすめします。

4. 覚えやすいパスワードのつくり方

前項のサービスでパスワードをつくったものの・・・複雑で長いものは覚えられない!という方もいらっしゃることでしょう。そんなときは、好きな言葉などをうまく改変・合成して作成する方法がオススメです。

security_03安全なパスワードの作成方法と管理のコツ・強度のチェック
パスワードの安全性と・強度について考えてことはありますか?難しいパスワードは覚えられないから簡単なパスワードを設定している人がおられます。クレジットカードを...

好きな言葉の改変で新しい言葉をつくれば、ランダムのパスワードより覚えやすいですよね。いろいろ工夫して、複雑ながら覚えられるものをつくってみてください。

5. 使用するパスワードが安全か調べる方法

パスワードをつくったとしても、攻撃者がカンタンに突破できるものでは意味がありません。どの程度強度があるのか、ツールでチェックしてみましょう。

»パスワード チェッカー: 強力なパスワードの使用 | Microsoft セーフティとセキュリティ センター

↑このページの「あなたのパスワードの強度は?」にある入力フォームに、使いたいパスワードを打ち込んでみましょう。すると、強度を色で教えてくれます。

弱い(赤):英字のみ、数字のみ
普通(黄):一般的な文字数の英字、数字
強い(緑):長い文字数の英字、数字
とても強い(緑):非常に長く、大文字を含めた英字、数字

弱い~普通だったら、もう少し文字数を増やしたり、数字と英語を混ぜてみるとよいでしょう。

6. 絶対に使ってはいけないパスワードとは?

世界中で多くの人びとが利用していて、すぐ見破られるといわれているパスワードがあります。つぎのような単純なパスワードはすぐに見破られてしまうので、決して使用しないようにしましょう。

  • password
  • 12345
  • abcde
  • abc123
  • qwerty
  • asdfg
  • 誕生日
  • 電話番号

もちろん、パスワードを口外するのも絶対にNGです。たとえ兄弟間であっても、兄弟が誤って流出させないとは限りません。Googleの公式では、ペットのオウムにも教えないようにと書かれています。

7. パスワードはどのように管理すればいい?

複雑なパスワードを設定すると、覚えるのが難しくなってしまいます。そこで、つぎのような方法で管理することをおすすめします。

7-1. ブラウザの自動入力機能を使用する

IEやChromeといったブラウザでは、IDとパスワードの組み合わせを記憶することができます。

7-2. パスワード管理アプリを使用する

最近は、パスワードを一括管理できるアプリも登場しています。自動入力で記憶できないサービスなどでも利用できたりするのがメリットです。無料でおためし利用できるアプリもあるので、実際に使ってみてもよいでしょう。

security_114パスワード管理アプリの安全性・危険性!安全な管理方法は?
インターネットで扱うパスワードの漏洩により、不正ログインの被害が発生しているというニュースが増えています。サービスごとに異なるパスワードを設定することが面倒...

7-3. 手書きのメモなどに書いて管理

ただし、書いたメモは厳重に保管する必要があるでしょう。カギつきの机の引き出しなどがおすすめです。また、パスワードを書くときはそのままではなく、図などで暗号化して、自分しかわからないようにするとさらによいです。

パソコンのメモ帳に書いて保存するという方法もありますが、万が一ウイルス感染して内容が外部に漏れたり、ファイルにアクセスできなくなった場合に困る可能性が出てきます。記録するなら手書きのメモのほうがよいかもしれません。

8. 不正アクセスから身を守るコツとは?

強固なパスワードを設定しても、利用しているサイトがサイバー攻撃などを受けたりして情報流出してしまうと、不正アクセスをされる可能性があります。それを防ぐための対処法がこちらです。

8-1. 定期的にパスワードを変更する

定期的なパスワード変更は不正アクセスの防止に効果があります。面倒かもしれませんが、最低限でもクレジットカード情報など重要な個人情報を登録しているサイトでは定期的な変更をおすすめします。

8-2. パスワードを使いまわさない

パスワードを覚えるのが大変だからと、他のサイトで同じID・パスワードを使い回すのは危険です。もしも流出してしまったとき、そのID・パスワードを使われて不正ログインされるだけでなく、その組み合わせが闇取引されてさらに流出する危険性があります。

8-3. よりセキュリティを高める設定をおこなう

サイトやサービスによって、ログイン時に「ワンタイムパスワード」や「2段階認証」を利用できる場合があります。これを利用すると、セキュリティレベルをさらに高めることができます。

8-3-1. ワンタイムパスワードとは?

ログイン時に、連携した「ワンタイムパスワードアプリ」で表示されるランダムな数字を入力してログインする方法。このパスワードは1回きりで時間で切り替わるため、推定されにくくなっています。Secure OTPやGoogle Authenticatorが有名です。

8-3-2. 2段階認証とは?

これはサイトによって異なります。ログイン時にID・パスワードとさらに別の暗証番号を入力する形式だったり、表示される歪んだ文字列を入力するといった形式があります。これらの認証をおこなうことで、全自動ツールを使ったログインを防止しています。

8-4. 情報流出があったら即座にパスワード変更

セキュリティ対策が厳重そうな大手企業であっても、不正アクセス被害は後を絶たないのが現状です。利用しているサービスでいつ、IDやパスワードが流出するかわかりません。

もし、「個人情報が漏えいしました」といった公式発表があったら、即座にパスワード変更や秘密の質問などを変えておくとよいでしょう。ただし、情報漏えいに見せかけたフィッシング詐欺サイトには注意してください。

9. こんなサイトはセキュリティがキケン?

パスワードを強固にしても、サイトのセキュリティが弱いと情報流出の危険があります。どのようなサイトが危険なのか知っておき、利用には注意してください。

9-1. SSL認証がおこなわれていない

SSL認証とは、利用者の通信を暗号化するシステムを利用しているという証です。どのようなサイトがSSL認証しているかわかるのは、アドレスバーの部分を確認してください。

security_542

このようにカギのマークが表示されて、httpではなくhttp「s」と表示されていたら、そこは情報をしっかり暗号化していることがわかります。

とくに通販サイトなど、個人情報やクレジットカードといった重要な情報をやり取りするサイトでこの認証がされていないと、情報流出のリスクが高いです。利用はよく考えたほうがよいかもしれません。

ただし、このSSL認証が適用されていたからといって、確実に安全とは言いきれません。なかには古くなったSSLをそのまま使っていて、あまり効果がない場合もあります。

9-2. パスワード設定の文字数が少ない

サイトの利用登録をおこなう際にパスワードが4文字や6文字など、少ない文字数にしか設定できない場合は非常に危険です。

4文字程度のパスワードは、ツールを使えば2分以下で特定されてしまうといいます。文字数が少ないだけでなく、英字のみ・数字のみしか設定できないと、さらに危険です。

まとめ

パスワードはいちいち覚えていられないという理由で、「password」や「1234567」といった文字列を使用している方は、世界中に数多くいらっしゃいます。たしかに複雑なものだと覚えにくいですが、重要な情報を守るためには面倒も仕方ないのではないでしょうか。

とくに、金銭のやり取りをおこなう「ネットバンキング」や、クレジットカード情報などを登録する「ネット通販サイト」などのパスワードは、複雑で長いものにしておくことをおすすめします。

もちろん、設定したらそれで終わりではありません。定期的に変更して、セキュリティレベルを高めましょう。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

今、注意すべき攻撃手口はこれ!【2016年最新セキュリティ脅威レポート】 特別プレゼント

・「セキュリティ診断」で何がわかるの?
どんな危険が見つかっているの?
どんな被害が発生しているの?

もし、あした「情報漏えい事故」であなたの会社がニュースになったら?
攻撃者は、自動攻撃ツールを使って24時間365日、攻撃できるスキマを狙っています。
セキュリティ事故は、いつ起きてもおかしくありません。

【2016年最新セキュリティ脅威レポート】では、弊社が実際に疑似攻撃(ペネトレーションテスト)をおこない、検証した結果から、2016年注意すべき脆弱性・実際に多かった不備などをお伝えします。

「今、どんな被害が起きているのか?」
最新のセキュリティ脅威を知って、事故を未然に防ぎませんか?
ぜひダウンロードして、今後のセキュリティ対策にお役立てください。


【2016年最新セキュリティ脅威レポート】目次
1. おもなWebアプリケーション診断項目
2. ペネトレーションテスト内容とは?
-2015年度ペネトレーションテスト初回診断時総合評価の結果一覧
-脅威レベル深刻度別・脆弱性の該当比率一覧
3. 2015年度に多く検出された脆弱性とは?
4. ペネトレーションテストで発見した、新らなる脅威とは?
-最近また増えた、ウイルス感染配布サイト
-パケット改ざんプログラムによる被害

セキュリティレポートをダウンロードする >