STOP!!パスワード使い回し!!(2018)
複数の(インターネット上の)サービスで同じログインIDとパスワードを使い回しすると、どこかのサイトから流出した可能性のあるログインID・パスワードを用いた「パスワードリスト攻撃」(または「リスト型アカウントハッキング攻撃」)などと呼ばれる方法によって、第三者に不正にログインされる恐れがあります。
近年この方法によるアカウントの乗っ取りや、不正課金利用などの被害者が増加傾向にあります。
ID・パスワードをしっかり管理しましょう
(1) 名前などの個人情報からは推測できないこと
(2) 英単語などをそのまま使用していないこと
(3) アルファベットと数字が混在していること
(4) 適切な長さの文字列であること
(5) 類推しやすい並び方やその安易な組合せにしないこと
などの方法が有効です。
必ずしも定期的に変更する必要はないとの認識が総務省より示されました
パスワード「頻繁に変更はNG」総務省が方針転換
定期的に変えるのはかえって危険――。総務省がインターネット利用時のパスワードについて、従来の“常識”を覆すような注意喚起を始めた。(頻繁な変更は)「推測しやすい文字列になって不正アクセスのリスクが増す」というのが理由で、それよりも十分な長さかつ複雑なパスワードを使い続けるよう呼びかけ。
国民のための情報セキュリティサイト(総務省)
社員・職員全般の情報セキュリティ対策(PDF)
弊社おすすめのパスワード生成方法(2018年版)
※使い回さず、忘れにくいパスワードの特定のルールに従って生成することをおすすめします。以下に生成例を提示します。
(1) 記号を二つ決める
たいていのサービスで !$/%@# あたりの記号が使えるようになっています。
この中から二つ。
例えば「$」と「@」
(2) 覚えやすい英単語を二つ思い浮かべる(3文字~4文字程度が良い)
例えば「hand」と「foot」
(3) (0~9のうちから)数字を一つ思い浮かべる
例えば「4」
(4) サイト固有の英単語を含める
例えば弊社サイトであれば「works」
(5) 特定の順番に組み立てる
→「hand$foot@4works」
これでサイト毎に違う16文字(ベースが必ず11文字)のパスワードが出来上がり!
【資料】できるだけ長いパスワードを利用することの計算的根拠
使用する文字の種類 | 最大解読時間 | |||
---|---|---|---|---|
入力桁数 | ||||
6桁 | 8桁 | 10桁 | 12桁 | |
英小文字(例abc + 123) | 1秒以下 | 8秒 | 59分 | 4週間 |
英大文字のみ 又は 英小文字のみ + 数字(例ABC 又は abc + 123) | 1秒以下 | 1分 | 1日 | 4年 |
英大文字 + 英小文字 + 数字(例ABC + abc + 123) | 1秒 | 2時間 | 4日 | 3000年 |
英大文字 + 英小文字 + 数字 + 記号(例ABC + abc + 123 + #$%) | 5秒 | 9時間 | 6年 | 34000年 |
※すべての組み合わせを試すために必要な時間を試算した結果のおおよその値。計算するシステムの能力にもよる。
「STOP!!パスワード使い回し!!」キャンペーン
当社は一般社団法人 JPCERT/CC(JPCERTコーディネーションセンター)の「STOP!!パスワード使い回し!!」キャンペーンに賛同しています。
具体的な予防方法の詳細がJPCERT/CCのキャンペーンページにて掲載されていますので、是非ご覧下さい。
STOP!!パスワード使い回し!!キャンペーン2018(JPCERT/CC PC版)
STOP!!パスワード使い回し!!キャンペーン2018(JPCERT/CC mobile版)
![]()