2019/05/01

2019 年の世界パスワードデーにパスワードの 3 つのベストプラクティスを再確認する

username, password, id, auth

2019 年 5 月 1 日 編集部記事

世界パスワードデーである 5 月 4 日は、セキュリティ業界に身を置く我々にとって、数ある祝日や記念日の中でも特に重要な日です。最近のベライゾンのデータ漏洩/侵害調査報告書によると、弱いパスワードは情報セキュリティの重大な問題であり、驚くべきことに、ハッキング関連のデータ漏洩の 81% の原因となっています。しかしながら、すべてのユーザのちょっとした心掛けによって、パスワードセキュリティを強化し、オンラインを安全に利用できるようになります。パスワードの強化にあたってのベストプラクティスを以下に紹介します。

複雑なパスワードではなく、長いパスワードを使用する

Web サイトやアプリケーションに新しいパスワードを作成する場合、複雑なパスワードにするための要件(特殊文字を使う、大文字と小文字の両方を使うなど)がよく表示されます。しかしながら、暗号化とパスワード解読の方法は時間とともに変化し、今は、感嘆符や数字を含む短いパスワードよりも、長いパスワードの方が有効です。すべてのパスワードが 16 文字以上であることを確認してください。

暗号化されたパスワードを盗んだハッカーは、暗号化関数を使って総当たり方式で文字と数字の考えられるあらゆる組み合わせを作成し、その出力を暗号化されている不正取得したパスワードと比較します。最新のコンピュータを使った場合、短いパスワードであれば、この方法ですぐに解読できてしまいます。8 文字のパスワードの場合、「複雑」であったとしても、通常のコンピュータであれば数日以内に、さらには、スーパーコンピュータやボットネットを使用すれば数秒以内に解読されてしまう恐れがあります。16 文字を超えるパスワードを総当たり方式で解読するには数百年から数千年もかかるため、少なくともこの長さのパスワードにすることをお勧めします。

高度なヒント:パスワードに英語以外の語を使用することが、長くすることの次に効果的な方法です。多くのハッカーは「辞書攻撃」と呼ばれる、英語のよく使われる語やフレーズのリストを使った総当たり方式攻撃を実行し、これらのフレーズのあらゆる組み合わせを試行します。基本的には、パスワードに英語の一般的なフレーズを使用していると、スキルのある攻撃者であれば、かなり速く解読することができます。英語以外のフレーズや文字と数字をランダムに並べて使用することが、これらの攻撃の対策になります。

悪いニュースが報道されてはいるのものの、パスワードマネージャを使用する

セキュリティの専門家は何年も前から、LastPass、DashLane、1Password などのパスワードマネージャを利用して、アカウントごとに長くて複雑なパスワードを保存するよう推奨してきました。サイトやアプリケーションごとに異なるパスワードを設定し、数十個のパスワードを記憶するのは大変ですが、パスワードマネージャを利用すれば、オンラインアカウントごとに一意のパスワードを作成し、1 つのパスワードだけを記憶するだけですみます。アカウントごとに異なるパスワードを設定することが重要なのは、ハッカーに自分の 1 つのアカウントのパスワードを知られてしまったとしても、他のアカウントにアクセスされてしまうのを防止できるからです。

このようなメリットがありますが、パスワードマネージャの開発元である企業が攻撃されて情報が流出したり、パスワードマネージャそのものに脆弱性が見つかったりしたというニュースがいくつも報道されたため、パスワードマネージャの利用に不安を感じる方も多いでしょう。もっともな意見ではありますが、このようなマイナス面を差し引いたとしても、パスワードマネージャを利用することのメリットの方が大きいことに変わりありません。いくつかのパスワードマネージャに脆弱性が発見されましたが、全体として見ると、開発元である企業の脆弱性や情報流出に対する対応は極めて妥当なものです。たとえば、LastPass の場合は、2015 年に情報流出が明らかになり、2016 年と 2017 年に新たな脆弱性が見つかりました。2015 年の情報流出では、発生から 3 日以内に顧客に通知され、ユーザのパスワードは安全に暗号化された状態であり、アクセスされていなかったことがわかりました。2016 年と 2017 年に脆弱性が発見された際も、同社はソフトウェアの脆弱性を迅速かつ効率的な方法で修正しました。パスワードマネージャが再び攻撃されたとしても、前述のように 16 文字以上のマスターパスワードが使用されていれば、攻撃者にアクセスされて大切なパスワードが盗まれることは事実上ありません。以上のメリットとパスワードマネージャのプロバイダが優れたセキュリティ対策を独自に設けている点を考慮し、パスワードマネージャの利用を強くお勧めします。

安全な MFA を使用する

ウォッチガードでは昨年、個人ユーザと中小規模企業に対して、多要素認証(MFA)ソリューションの採用を積極的に呼びかけました。MFA によって、セキュリティにとって重要な追加レイヤが強力なパスワードに付加されます。今年は、すべての MFA が同じではない点を考慮し、本当に安全な MFA の利用をお勧めします。最も一般的な方法の 1 つである、ユーザが 5 ~ 6 桁のコードをテキストメッセージで受け取って Web サイトにログインするというやり方には、いくつかの弱点があり、攻撃者にテキストメッセージを傍受されてしまう可能性があります。2018 年 6 月の Reddit におけるデータ漏えいでは、この方法が使われました。

テキストメッセージの代わりに暗号化されたチャネルを使ってスマートフォンに認証要求の確認を送信する、プッシュ通知ベースの MFA ソリューションを使用するようにしてください。この通知の送信方法であれば、テキストメッセージよりはるかに安全で、少なくとも同等の利便性が保証されます。MFA セキュリティの詳細については、Secplicity のこちらの記事で詳しく解説されていますので、参照してください。

世界パスワードデーは、パスワードのセキュリティ向上の方法を見直す絶好の機会ではありますが、本来であれば、一年を通して重要な優先事項として考えるべきことです。ウォッチガードの CTO、Corey Nachreiner によるパスワードセキュリティのアドバイスについては、こちらを参照するか、前回の世界パスワードデーのビデオをご覧ください。