BIR62RGGjGxN5nrbnzwu_3

最近アカウントの乗っ取りが多いので、パスワードの決め方についてサーバ管理者の視点から書いてみる

最近、「LINEアカウントが乗っ取られた!」という書き込みをよく見かけます。
アカウント乗っ取りを防ぐことはなかなか難しい、と言われますが、乗っ取られた原因の多くはパスワードの設定にあると言えます。
そこで、どんなパスワードが乗っ取られやすいのか、乗っ取られないためにはどんなパスワードを設定すればいいのか、ちょっと書いてみたいと思います。

まずはパスワード乗っ取りの仕組みから

「仕組み」と書きましたが、基本的に2つのパターンしかありません。

辞書を使って総当たり式で探すパターン

最近は多いかどうか分かりませんが、いわゆる「総当たり」パターンです。
これはサーバのアカウントへのアタックに使われることが多いタイプです。
アカウントで使われている・使われそうな文字列を全部辞書化し、それら文字列の組み合わせや文字列と数字の組み合わせをプログラムで自動生成し、生成された文字列を使って次々とログインを試していく方法です。
そしてここで使われる「辞書」は次々に文字列が追加され、ネット上に出回っています。
短い文字列や数字だけのID/パスワードを使っている場合、人名をIDやパスワードに使っている場合はこの方法でログインされ、乗っ取られる可能性があります。

流出した情報からID/パスワードを抜き取られるパターン

今、いちばん多いのはこのパターンです。LINEの乗っ取りもこのパターンと言われています。
いろいろなサービスでIDとパスワードを使ったログインが必要になっています。
そうなると、それぞれのサービスで同じID/パスワードを使う人が多くなってきます。だって全部変えていくと面倒だし、分からなくなりますから。
しかし、同じID/パスワードを使い回していると、1箇所から流出したら、他のサービスにもログイン出来てしまいます。
BIR62RGGjGxN5nrbnzwu_3

乗っ取られにくいパスワードの決め方

では、乗っ取られにくいパスワードの決め方はあるのでしょうか?
最低限やった方がいいことを書いてみます。

複数のサービスで同じIDとパスワードにしない

基本中の基本ですね。
とにかく複数のサービスでID/パスワードを同じものにしない、ということをまず守りましょう。
1つが流出したら他のにそのままログイン出来る状況は非常に危険です。

せめてパスワードは推測できないランダムな文字列にする

よく見かけるのが、パスワードを子供の名前+子供の誕生日にしているものです。
「子供の名前だから分からない」と思っている人が多いですが、日本人の人名のほとんどは「リスト」にありますので、リスト+4桁の数字でどんどんアタックかけられるといつかは破られます。
ですので、パスワードは推測できないランダムな文字列にしましょう。
パスワードを決めるのが面倒な方はこういうものを使うのも一つの手です。
[Mac] OS X に備わっているパスワードジェネレータ | りんごが好きでぃす
パスワード生成・管理(Windows用) | Vector

パスワードの文字数は9文字以上

「パスワード」と聞くと4文字や8文字、16文字が一般的です。
最近は「8文字以上16文字以下」というところが増えているので、「9〜15文字」という中途半端な文字数にしてみましょう。
覚えにくいのですが、意外と突破されにくいです。

もう少し具体的に、IDとパスワードの決め方と管理方法をご提案

と書いてもなかなか難しいかも知れません。
もう少し具体的に決め方と管理方法をご提案してみたいと思います。

いくつかベースとなるパスワードを決めて組み合わせる

私が実際にやっているパスワードの決め方から2つだけご紹介します。
8桁の文字列をいくつか用意します。もちろんこの文字列は単語ではなくランダムなものです。
この8桁の文字列を2つ繋げます。すると16桁の文字列になります。これをパスワードにします。
例えば、A / B / C と8桁の文字列を3つ用意します。
この3つを組み合わせることで出来る16桁のパスワードは下記の6種類です。
 AB / AC / BC / BA / CB / CA
これをもう少し細かく・・・例えば4桁の文字列を3つ組み合わせて12桁のパスワードを用意する、など、いろいろな組み合わせでパスワードを設定することが出来ます。
もう一つは文字列と数字の組み合わせです。
先程、文字列と数字の組み合わせはNGと書いたのですが、ただ組み合わせるだけではなく、文字列と数字の間に記号を入れます。
例えば、”openmedia”と”1221″という数字をただ組み合わせると”openmedia1221″という推測しやすいかも知れない文字列になりますが、例えばこの間に”$”を入れてみると、”openmedia$1221″となり、辞書を使った総当たり方式ではなかなか算出されにくい文字列になります。
この記号を入れる場所を工夫することでいくつかのパターンを作ることが出来ます。

管理はソフトを使う

せっかく決めたパスワード、忘れてしまっては元も子もありません。
パスワードの管理にはソフトを使いましょう。
Macであれば”1password”が有名ではないでしょうか。
1Password
カテゴリ: 仕事効率化, ユーティリティ


Windowsでは「Roboform」というソフトがあります。
Roboform / Password Manager
どちらも有料ですが、パスワードの管理なので出来れば有料のものを使いたいところです。
他にもいろいろなソフトがありますが、パスワード管理ソフトの中にはインターネット上のスペースにパスワードを記憶させるソフトがありますが、少々危険なので出来ればローカルで全て管理出来るものを選ぶのがいいかと思います。

アナログな方法だけど、ノートにメモしておくのも必要

この方法、否定的な人も多いですが、ノートにメモしておくことも必要かと思います。
私もほぼ全てのパスワードをノートに記録しています。
もし私の身に何かあった場合、そのノートを見れば全てのパスワードが分かるので、その後の処理をしてもらいやすいですし、神に残しておくと何かと便利です。

「パスワードは漏れる」という前提での対策を

「パスワードは漏れない」と考えるのはもう古い考え方かも知れません。
「パスワードは漏れる」という前提で対策を講じる必要があると思っています。
最近では2段階認証など、新たな認証方法も増えてきています。
出来るだけ安心できる認証方法を使って、より安全に便利にインターネットを使いましょう。
こういうのもあります。
パソコンにソフトを入れると、パソコン上で情報を入力し、これに転送することも可能です。

Share this post