パスワードの定期変更はやめましょう
以前は銀行などのサイトで「長い間パスワードが変更されていません」などの表示が出てくることがあり、定期的にパスワードを変更することが推奨されていましたが、最近はそのような文言はあまり出てこなくなりました。
現在では全く逆のパスワードの変更はしない方が望ましいとの見解になっています。
これはアメリカのNIST(=National Institute of Standards and Technology=米国立標準技術研究所)というところが2017年にパスワードの変更は間違っていたと言い、ユーザーに対してはパスワードの変更を促すべきではないという新しいガイドラインを発表しました。
では何故180°見解が変わったのでしょうか?
それはある実験の結果を受けてのことのようです。
以下のようにパスワードを定期的に変更する組と変更しない組に分け、どれぐらいパスワードが漏洩するかという実験をしました。
その結果パスワードを定期的に変更していた組の方が圧倒的に漏洩していたようです。
理由としては「新たに覚えるのが大変」ということで簡単な短いパスワードを設定してしまい、その結果漏洩してしまった、ということです。
では短いパスワードがいかに危険かということを示したのが下の表になります。
※スマホの方は横スクロールでご確認ください。
| 文字長 | 数字 | 英小文字 | 英大小文字 | 数字+英大小文字 | 数字+英大小文字+記号 |
| 4 | 一瞬 | 一瞬 | 一瞬 | 一瞬 | 一瞬 |
| 5 | 一瞬 | 一瞬 | 一瞬 | 一瞬 | 一瞬 |
| 6 | 一瞬 | 一瞬 | 一瞬 | 1秒 | 5秒 |
| 7 | 一瞬 | 一瞬 | 25秒 | 1分 | 6分 |
| 8 | 一瞬 | 5秒 | 22分 | 1時間 | 8時間 |
| 9 | 一瞬 | 2分 | 19時間 | 3日 | 3週間 |
| 10 | 一瞬 | 58分 | 1ヶ月 | 7ヶ月 | 5年 |
| 11 | 2秒 | 1日 | 5年 | 41年 | 400年 |
| 12 | 25秒 | 3週間 | 300年 | 2千年 | 3万4000年 |
| 13 | 4分 | 1年 | 1万6千年 | 10万年 | 200万年 |
| 14 | 41分 | 51年 | 80万年 | 900万年 | 2000万年 |
| 15 | 6時間 | 1000年 | 4300万年 | 6000万年 | 150億年 |
| 16 | 2日 | 3万4千年 | 20億年 | 370億年 | 1兆年 |
| 17 | 4週間 | 80万年 | 1000億年 | 2兆年 | 93兆年 |
| 18 | 9ヶ月 | 2300万年 | 6兆年 | 100兆年 | 7000兆年 |
出典:https://www.reddit.com/r/Infographics/comments/iovbi8/updated_table_on_time_to_brute_force_passwords/
このように定期的にパスワードを変更する場合、どうしても簡単な変更(特に紫の箇所)になってしまうためハッカーに狙われやすくなります。
アタック(攻撃)の方法
ではどのようにして攻撃するのでしょうか?
ブルートフォース攻撃
ブルートフォース攻撃(Brute-force attack=総当たり攻撃)は、考えられるすべてのパスワードのパターンを試して、不正に認証を突破するサイバー攻撃手法です。攻撃者はIDを固定し、パスワードを機械的に入力し、正解を見つけるまで試行を繰り返します。
これを人間が手動で行うのは難しいですが、自動化ツールを使用すれば簡単に実行できます。
辞書攻撃
辞書攻撃(Dictionary Attack)とは、ハッカーが一般的な単語やフレーズ、人物名などのリスト(辞書)を用いて、パスワードを推測し、システムへの不正アクセスを試みるサイバー攻撃の手法です。
辞書攻撃は総当たり攻撃と比較して効率的にパスワードを解読でき、解読時間が比較的短いです。
リバースブルートフォース攻撃
バースブルートフォース攻撃(Reverse Brute Force Attack)とは、総当たり攻撃(ブルートフォース攻撃)の一種です。リバース・ブルートフォース攻撃では、特定のパスワード(よく使われるパスワード)に対して、大量のユーザー名を試行します。
ブルートフォース攻撃がパスワードを総当たりするのに対し、IDを総当たりするという点で逆の手法になります。
対処法
上記の表からもお分かりのように短いパスワードや数字のみなどの単純なパスワードでは簡単に突破されてしまいます。
しかし長く複雑なパスワードでは覚えにくい、ということにもなります。
ではどのようにすればいいでしょうか。
中学生ぐらいで習う簡単な英語(LoveやFreeなど)ですと簡単に解析されてしまいますが、日本語をローマ字にしますと比較的難しいようです。
しかし日本語でもTokyoやFujisanなどよく知られている単語は危険です。
日本人にしかわからない言葉(ことわざや四文字熟語など)を他の文字列と組み合わせますと結構強力のようです。
例えばTanakarabotamochi(棚から牡丹餅)をNagano5&Tanakarabotamochi!uedaやSessatakuma(切磋琢磨)をChikuma-r11Sessatakuma$3sなどにしますと強力なパスワードになります。
パスワードが流出する多くは上記のハッキングよりもフィッシング詐欺によるものが圧倒的に多いようです。
⚫︎⚫︎銀行やECサイト、カード会社などを装ったニセのメールやフィッシングサイトで本物と信じてログインしてしまった、などよく聞く事象です。
これではいくら強固なパスワードでも意味がありません。
流出したパスワードは当然悪用されるわけでわけですが、しかしすぐに悪用されるわけではありません。
フィッシング詐欺が *ダークウェブ(闇サイト)へ販売〜攻撃となりますのでこの間数ヶ月ほどかかります。
ですので慌てずパスワードを新たに設定してください。(設定する際は以前のものとは全く似ても似つかないパスワードに設定する必要があります。)
*ダークウェブ(闇サイト)につきましては以前こちらのページで掲載しています。
そして以上のようなことを防ぐために重要なのが2段階認証です。
ガイドラインではパスワードの変更は必要ないとのことですが、これには2段階認証が必須となります。
2段階認証ならもしパスワードが漏れても不正ログインの心配はありません。
※スマホの方は横スクロールでご確認ください。
| お金・決済 | 銀行のウェブサイト・仮想通貨取引所・証券取引口座・PayPay・PayPal・クレジットカードなど |
|---|---|
| ECサイト | Amazon・楽天・メルカリ・ヤフオクなど |
| アカウント | Google・Yahoo・Microsoftなど |
| SNS | X・Line・Instagram・TikTokなど |
まとめ
以上がパスワードの新しい考え方です。
どうかくれぐれも被害に合わないようご注意ください。
- パスワードは頻繁に変える必要はありません。
- その代わり強力なパスワードを設定しましょう。(8文字以上・英大文字小文字・数字・記号)
- ローマ字で日本語のワードを設定すればより強力。
- パスワードが漏れたら以前のものとは全く別物を設定しましょう。
- 2段階認証を設定しましょう。