複雑なパスワードはあまり意味がない? その理由とは
多くの専門家が「パスワードを複雑にするのはそこまで大事なことではない」と指摘するのは、サイバー攻撃者がパスワードを盗み出す主だった手口に対して、パスワードの複雑さがほとんど無意味だからです。
たとえば、パスワード流出の経路として大きな割合を占めるのが、フィッシングです。フィッシングの場合、攻撃者はメールなどでユーザーを偽サイトに誘導し、本当のサイトだと騙して、パスワードを入力させます。パスワードをどれだけ複雑にしていようと、ユーザーが自分でそれを入力して送信してしまうのですから、意味がありません。
また、セキュリティ対策が甘い企業のデータベースを攻撃してユーザーのログイン情報を盗み出し、そのパスワードを使って他の様々なサービスへの不正ログインを試みるというのも代表的な攻撃手法のひとつ。この場合も、攻撃者はユーザーのパスワードを丸ごと盗んでしまうので、パスワードが複雑だろうと簡単だろうと関係ありません。
そのほか、ユーザーのパソコンをウイルス感染させ、キーボードのタイピング履歴を記録するマルウェアをインストールさせるという手法もよく知られています。タイピング内容がすべて攻撃者に送信されるので、当然パスワードも筒抜けに。この場合もやはり、パスワードを複雑にすることは役立ちません。
パスワードの複雑さよりも重要なこと
それでは、パスワードが盗まれることを防ぐには、何が重要なのでしょうか。パスワード流出とそれによる不正ログインを予防するのに効果的なポイントをまとめました。
■パスワードの使い回しをしない
パスワードを複数のサービスで使い回すことは、とても危険です。インターネットユーザーの8割以上がパスワードの使い回しをしているというデータもありますし(※1)、攻撃者は「多くの人は複数サイトでパスワードを使い回している」と熟知しています。
そのため、何らかの手口でひとつのサービスのログイン情報を盗み出してから、そのパスワードを使って手あたり次第色々なサービスで不正ログインを試してみるケースが非常に多いのです。この攻撃から身を守るための手段はただひとつ。パスワードの使い回しをしない、ということだけです。
■二段階認証を有効にする
「パスワード入力+SMSで受信したセキュリティコードの入力」などの二段階認証を、オプションとして導入するサービスが増えています。二段階認証が導入されているサービスでは、積極的にその機能をオンにしましょう。二段階認証を有効にしていれば、仮にパスワードが盗まれたとしても、攻撃者はアカウントにそのまま不正ログインすることができません。
■よく使われるシンプルすぎるパスワードは避ける
いくらパスワードの複雑さにあまり意味がないとはいえ、シンプルすぎるパスワードはもちろん危険です。よく使われる「password」「pass123」「123456」「admin」「abc123」などのパスワードは絶対に避けましょう。複雑さにこだわる必要はありませんが、たとえばペットの名前を入れるなど、ちょっとしたオリジナリティを加えることは大切です。
■企業はセキュリティ対策製品の有効活用を
個人ユーザーではなく企業の場合は、基本的な総合セキュリティソフトだけではなく、必要に応じて様々なセキュリティ対策製品を組み合わせることも効果的です。
たとえばクラウド型WAFの「使えるwaffle」は、ホームページへのWeb攻撃を一切遮断。Webハッキング、個人情報漏えい、サイト改ざんを防ぎます。また「使えるクラウドバックアップ」は、御社の重要なデータをすべて丸ごと安全にバックアップしつつ、ランサムウェア対策機能で様々な脅威・攻撃をブロックします。ぜひこうしたソリューションを活用して、サイバー攻撃対策を万全にしてくださいね。
使えるwaffleの詳細はこちら
使えるクラウドバックアップの詳細はこちら
お問い合わせはお気軽にどうぞ!
※1:パスワードの利用実態調査 2017 - トレンドマイクロ株式会社