パスワード解析の危険性?安全なパスワード設定とは

2017年12月7日(木) ノウハウ

<ちょい読み>
・悪意を持つ第三者がID・パスワードを利用して不正にログイン
・長く複雑なパスワードにすることで、第三者から特定されないようにする
・複雑なパシワードでも単語や個人情報は特定されやすいので避ける


多くの人々が日々何気なく利用しているWebサービスには、ユーザー名とパスワードを設定しているものがあるでしょう。サービスをたくさん利用しているとついつい同じようなパスワードを使いまわしてしまうかもしれません。
パスワードの使い回しは利用者がついついやってしまうことではありますが、攻撃者にとっては格好の餌食です。
それでは、攻撃者に解析されないためには一体どうしたら良いのでしょうか?

パスワード解析による攻撃

パスワード解析による攻撃として、パスワードリスト攻撃(リスト型攻撃/アカウントリスト攻撃)があります。パスワードリスト攻撃とは、悪意を持つ第三者が、何らかの手法によりあらかじめ入手してリスト化したID・パスワードを利用してWebサイトにアクセスを試み、結果として利用者のアカウントで不正にログインされてしまう攻撃です。利用者は同じID・パスワードの組み合わせを複数のサイトで使用する傾向が強いため、パスワードリスト攻撃の成功率は高くなっている状況があります。

安全かつ強力なパスワード設定とは?

安全なパスワード設定とは、強力なパスワードを設定すること、そして強力にしたパスワードを保護することです。さらに、パスワードを他人に知らせないことが大切です。
では、強力なパスワードを設定するにはどのようなことが必要なのでしょうか。
大きく分けて、以下の3点があります。

①パスワードを長くする
②パスワードを複雑にする
③よくある単語や個人情報といった推測されやすいパスワードを避ける

パスワードは長ければ長いほど強力といえます。しかし長いだけではいけません。複雑でなければ機械的なパスワード推測によってパスワードを解析されてしまいます。
さらに、こういった機械的なパスワード解析では、単純に文字列を一文字ずつ試行するだけでなく、よくあるパスワード設定をリスト化したものから試行することで、パスワードがヒットする確率を高めています。
従って、よくパスワードとして設定しがちな単語は避ける必要があります。また、個人情報をパスワードに設定することも避けましょう。個人情報が漏えいすることで、パスワード自体が漏えいされなかったとしても、攻撃者がパスワードを推測してアクセスする恐れがあるためです。

SplashDataでは、毎年「最悪なパスワードリスト」(Worst Passwords List)を公開しています。
https://www.teamsid.com/worst-passwords-2016/
2016年の結果によると、「123456」、「password」が不動の1位、2位となっています。
安易なパスワードは特定されやすく非常に危険です。

パスワードを保護するには

パスワードを保護するには、強力に作成したパスワードを秘密にすることが必要です。
パスワードを秘密にするには以下の4点を守らなければなりません。

①パスワードを誰とも共有しない
②同じパスワードを使いまわさない
③パスワードを定期的に変更する
④アカウントに関する攻撃が疑われたらすぐにパスワードを変更する

パスワードの取り扱いに十分気を使っていたとしても、自分以外の誰かにパスワードを共有した場合、パスワード漏えいする可能性が高まります。
身内や内部関係者に対してのみだったとしても、フィッシング詐欺やソーシャルエンジニアリングといった恐れがあるからです。
そういった手段によってパスワードが漏えいすることが想定されます。

次に、複数のサイトでパスワードを使いまわすこともやめましょう。とあるサイトでパスワード漏えいが発生すると、他のサイトでもログインが試行される恐れがあります。もし同じID、パスワードだったとすると、他のサイトでもログインが成功してしまい、被害が拡大してしまうことになります。

さらに、例えある時期にパスワードが漏えいしたとしても、定期的にパスワードを変更していれば、被害が最小限で済む可能性が高まります。
しかし、これだけでは完全に被害を食い止めることはできません。もしアカウントに関する情報が漏えいされた、またはその疑いがあることが明らかになった場合は、できるだけ早くパスワードを変更する必要があります。

パスワード再設定時などの「秘密の質問」に注意

パスワードを忘れた時にパスワードを再設定するために仮パスワード発行する際、「秘密の質問」を設定することがよくあります。
この設定した情報がSNSやブログで公開している情報だとすると、攻撃者が仮パスワードを発行してしまう恐れがあるため、安全性が低くなることになります。
「秘密の質問」は答えそのものだけでなく、自分にしかわからない別の言葉を付け足すことで、攻撃者からの推測をさけるようにしましょう。

さらに安全性を高める方法「2段階認証を設定する」

最近、Webサービスで2段階認証を導入するところが増えてきています。2段階認証とは、特定端末でログインしたタイミングで本人の携帯電話へ認証コードを送信し、その後その端末で認証コードが入力されたら、その端末は本人の端末であると認識し、以降、その端末からはIDとパスワードのみでログイン可能とする認証方法です。

この利点としては、2段階認証ができない端末からはログインできないという点です。
もし、アカウント情報が漏えいしたとしても、攻撃者からの端末ではログインができないということになります。

このように、パスワードを設定する際にも安易なパスワードに設定するのではなく第三者から推測されづらい強固なパスワードにすることが大切です。
パスワード管理も怠らず、自分自身の安全は自分で守りましょう。

Writer:SecurityTIMES編集部