パスワードの脆弱性

by Shogo

スマホのアプリには、使っている銀行の3つのアプリと1つの証券会社のアプリが入っている。最近はPCを使って銀行送金などの取引をすることはあまりない。スマホは端末で生体認証されるののでログインが簡単だが、PCは面倒なステップが多いからだ。

金融関係のアプリは当然のことながらリスクに注意が必要だから、以前よりパスワードが気になって、有料のパスワードマネジャーを契約しようと考えていた。だがAppleがiOS18からパスワードマネジャーの機能を拡充するというので待っているところだ。

そんな時に、気になる記事を読んだ。それは、インターネットセキュリティのKasperskyのリリースが引用されているパスワードの脆弱性についての記事だった。

KasperskyのDigital Footprint Intelligence部門はこのたび、情報窃取型マルウェア(インフォスティーラー)によって窃取され、ダークネット上で公開されていた1億9,300万件の英語のパスワードを対象に、ブルートフォース(総当たり)やパスワード類推攻撃に対する強度を分析する大規模な調査を実施しました。その結果、分析した全パスワードのうち、攻撃者によって1分未満に解読される可能性のあるパスワードは45%(約8,700万件)に上ることが分かりました。十分な強度があり、クラッキングに1年以上かかるパスワードは23%(約4,400万件)でした。

当社のテレメトリによると、2023年はパスワードスティーラー(アカウント情報を盗むマルウェア)を用いたユーザー攻撃が、3,200万件以上発生しました。この数字からは、IT環境におけるパスワード窃取に対する予防策と適切なパスワードポリシーの重要性が見えてきます。

Kasperskyのニュースリリース

これで言えば、使っているパスワードは1分以内に解読されそうなものばかりだ。それにしても、十分な強度があるのは23%に過ぎないというのは驚きだが、自分のパスワードも同じように弱いと自分でも知っている。それで、多少は強いパスワードに変更しようかと調べてみた。強力なパスワードの作成方法は、以下のようなものが推奨されている。

1. 長さが重要

パスワードの長さは非常に重要です。少なくとも12文字以上のパスワードを作成することで、ブルートフォース攻撃に対する防御が強化される。使っているパスワードの多くが、6文字か8文字なので、頑張って12文字に変更しよう。ブルートフォース攻撃は、総当たり攻撃というだけあって、考えられるパスワードのパターン全てを入力するという、単純なものだ。文字数が増えると組み合わせの数が増えて買い得に時間がかかるということだろう。

2. 多様性を持たせる

大文字、小文字、数字、記号を組み合わせて、パスワードに多様性と予測不可能性を持たせる。これについては、多くの組織がパスワードに、文字、数字と記号を必須としているケースが多い。これも、複雑にするほうが良いので大文字、小文字、数字、記号を入れて変更しよう。

3. 予測可能性を避ける

誕生日や簡単な単語を避け、個人的な情報を使わないようにする。これは、当たり前で使っている人はいないだろう。

4. ユニークで3つの無関係な単語を使用する

ランダムな単語を組み合わせたパスワードを作成。例えば、「AppleSunsetWood78?」のようなパスワードは、予測不可能で強力だそうだ。このようなものは、完全にランダムなパスワードに比べて弱いかもしれないが、一般的には強いパスワードになりえるようだ。これは、採用すべきアイディアだと思った。簡単な単語を3つ考えよう。

パスワードの強度チェックツール

それから、全く知らなかったがパスワードの強度チェックツールというものがあることを知った。パスワードの強度をチェックするために、多くのツールを利用することができる。

  • Have I Been Pwnedパスワードを入力して、データ漏洩に遭っていないか確認できる。これで、漏洩したパスワードを避けるために役立つ。
  • LastPass Password Tester パスワードを入力して、その強度を分析し、改善のための提案を受け取る。
  • How Secure Is My Password  パスワードを入力して、コンピュータが解読するまでの時間を評価できる。これでブルートフォース攻撃に対する防御を強化。
  • All Things Secured  パスワードの長さ、複雑さ、セキュリティを評価。パスワードの強度を瞬時に評価し、より強固なパスワードの作成に役立てる。
  • NordPass  パスワード生成ツールを使用して、強力で複雑なパスワードを作成。パスワードがハッカーに対して脆弱でないか確認できる。

これらのツールを知らなかったので、Have I Been Pwnedを試したところ、主に使っているパスワードは5,000回以上も漏洩していた。リスクの高いパスワードを長年使っているということになる。

とりあえず、Appleのパスワードマネジャー導入までは単語の数を増やして最低12文字にすることで対応しよう。

You may also like

Leave a Comment

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

error: Content is protected !!