新しい年が近づいていますが、私たちの何百万人もが依然としてまったくひどいパスワードを使用しています。そうである必要はありません。今年は優れたパスワードの年となるでしょう。その方法を紹介します。
私のパスワードがひどいものだとどうやってわかりますか?
あなた個人がひどいパスワードを持っていることを知っていますか?いいえ。あなたは、適切なパスワード衛生の重要性を理解し、その目的を達成するためのシステムを実際に実装している稀な人々の 1 人かもしれません (あなたにとっては良いことです)。一般の人々が総じてひどいパスワードを使用していることを私たちは知っていますか?はい、そうです。
これをどうやって知ることができるのでしょうか?なぜなら、(かなり残念ながら)毎年発生するすべてのデータ侵害からパスワードのダンプをすべて収集し、パスワードを分析する企業があるからです。これらのパスワード ダンプには通常、数十万から数百万のパスワードが含まれており、人々が使用しているパスワードの種類 (およびパスワード セキュリティをどれだけ真剣に受け止めているかどうか) を大まかに把握するのは非常に簡単です。
ある特定の企業、 SplashData (SplashData 個人パスワード マネージャーと TeamID エンタープライズ パスワード管理システムのメーカー) は、2011 年以来、人々が使用する最も一般的なパスワードのリストを編集し、公開しています。ここでは、 2011 年 、 2012 年 、 2013 年 、 2014 年の リストを示します。 、 2015年 。すべてのリストを自分で確認することもできますが、各年のトップ 10 を並べて掲載することにしました。
そうです。過去 5 年間で最も人気のあるパスワードは「password」と「123456」です。このリストにあるエントリはいずれも、適切なパスワードを試みたものではなく、単なる怠惰です。さらに悪いことに、時間が経ってもほとんど変化がありません。 (とはいえ、5 年間でドラゴンがサルを追い越したというのは興味深いことですが。)
2011 年以降、注目を集めたデータ侵害が数多く発生していることを考えると、パスワードの改善に向けて少なくともわずかながらの進歩が見られると思われるでしょう。しかし、明らかに何百万人もの人々が依然としてパスワードを使用しているため、パスワードを解読するために高度なツールを使用する必要すらありません。 90 年代の下手なテレビ番組のあまりにも賢いハッカーのように、それらを推測することもできます。
リストを見て、自分はそんなばかばかしいほど単純なパスワードを使用しないと自分を褒めているかもしれませんが、あなたのパスワードは本当に優れているのでしょうか?誰かが自分自身を心から祝福し始める前に、良いパスワードとは何かを見直してみましょう。
良いパスワードとは何でしょうか?
パスワードを適切に保つためのルールは 複雑ではなく、時間が経ってもあまり変わりません。それにもかかわらず、実際にそれらを忠実に守っている人はほとんどいません。良いパスワードとは次のとおりです。
長さ。 良いパスワードは長いです。一般に、パスワードが長ければ長いほど、ブルート フォースや辞書手法を使用して解読するのは難しくなります (そして、推測することも確実に難しくなります)。常にパスワードの最小長を超えるように努める必要があります。サイトに 6 文字以上のパスワードが必要と表示されている場合は、それより長くしてください。
複雑さ 。原則として、単純な単語は避けるべきです。辞書の単語、地名、固有名詞は避けてください。あなたのミドルネーム、犬の名前、州の名前、人気ミュージシャンなどは、パスワード クラッカーが使用するテーブルやファイルに既に存在している可能性が高いため、すべて恐ろしいパスワード コンポーネントです。パスワードに「犬」、「家」、「青」などの単語を使用する場合は、同じパスワードに少なくとも 4 つの単語を使用し、ブルート フォース攻撃を受ける可能性を減らす方法で使用する必要があります。 「MyDog$House!sBlue」。
ユニークさ。 これは大きなものであり、ほとんどの人がつまずくものです。単に適切なパスワードを設定することよりも重要なのは、アクセスするサイトごとに異なるパスワードを設定することです。世界で最高のパスワード、つまりスーパーコンピューターを使って解読するのに数十年かかるほど素晴らしいパスワードを持つこともできますが、会社のシステム全体が侵害され、ハッカーがそれを発見した場合、ハッカーはそれを知っており、あらゆるアカウントにアクセスできるようになります。あなたはそれを使用します。
この部分はどれだけ強調してもしすぎることはありません。複数のサイトで同じパスワードを使用し、それらのサイトの 1 つが侵害された場合、悪徳者がそれらのサイトのいずれかにあなたとしてログインする可能性があります。複数のサイトで同じパスワードを使用しており、そのパスワードがメール アドレスに使用しているパスワードでもある場合は、大変なことになります。個人メールが侵害される可能性がある (そしておそらく侵害される可能性が高い) だけでなく、攻撃者はユーザーが所有するアカウントのパスワードをリセットする可能性があります。この時点で、あなたは攻撃者に家の鍵を渡したことになります。
おそらく、上で概説した基本的な要件さえ満たせるという考えを嘲笑しているでしょう。アクセスするすべてのサイトに、長くて複雑で固有のパスワードが必要ですか?しかし、サイトはたくさんあります!どうすれば 100 個の異なるパスワードをすべて整理しておくことができるでしょうか?これにより、パスワードの衛生管理の次のステップ、つまりパスワード マネージャーの使用に進みます。
パスワードマネージャーが必要です
かつて、あなたは頭の中でいくつかのパスワードを使い回していたかもしれません。自宅や職場でのコンピューターへのログイン、おそらくオンライン ショッピングの黎明期には Amazon や eBay へのログイン、そしてもちろん銀行へのログインも追跡していました。パスワードの数が少ないので、強力なパスワードをいくつか覚えておくのは非常に簡単です。
しかし、そんな時代はとうの昔に過ぎ去りました。請求書の支払いからショッピング、製品登録やソフトウェアのアップデートに至るまで、あらゆるオンライン サービスが急増したため、カジュアル ユーザーであっても、何十ものログイン名とパスワードを使い続けなければなりません。場合によっては、その数は数百に及ぶこともあります (現在、私の個人的なコレクションには 300 を超えるログイン/パスワードがあります)。何百もの固有のパスワードを追跡できる人は地球上に存在しません。へー、私はカップルしか持っていないのに、時々忘れてしまう人を何人か知っています。 (「見てみましょう、そうでしたか
monkey!または
monkey1?それとも猿に大文字のMがあったのでしょうか?ああ、もう一度リセットしてみます。」)
この時代では、優れたパスワード マネージャーが不可欠です。パスワード マネージャーは、現代のパスワード使用を悩ませているすべての問題を簡単に解決します。 LastPass のようなパスワード マネージャーを使用すると、使用するすべてのサービスに対して長くて強力な一意のパスワードを簡単に作成、使用、および思い出すことができます。実際、優れたパスワード マネージャーはコンピューターと携帯電話で動作し、指を離さなくてもすべてに自動的にログインできるため、パスワードを再度入力する必要はありません。便利で安全です。
私たち全員が追跡する必要があるログインの数、データ侵害の頻度、同じパスワードの再利用によって生じる問題の量 (特に機密性の高いサイト) を考慮すると、パスワード マネージャーを使用しない言い訳はまったくありません。安全なパスワードを生成して保存します。パスワード マネージャーの概念を初めて使用する場合、または完全にクラウドベースのシステムの使用に懸念がある場合は、ガイド 「パスワード マネージャーを使用する必要がある理由と開始方法」 を参照してください。
二要素認証が必要です
したがって、パスワード マネージャーをインストールし、使用するすべてのサイトに固有の複雑なパスワードを生成しました。あなたはロックスターです。しかし、新年に優先すべきパスワード セキュリティ パズルの最後のピース、それが 2 要素認証です。
2 要素認証は単純です。サイトにログインするために 2 つの異なるタイプの認証が必要であることを意味するだけです。パスワードを持つアカウントには一要素認証があり、アクセスするにはパスワードのみが必要です。 2 要素認証のアカウントでは、パスワードと、会社から携帯電話に送信される 6 桁の PIN の入力の 2 つが必要です。これにより、他人があなたのアカウントをハッキングすることが非常に困難になります。あなたのパスワードが侵害で公開されたとしても、彼らはあなたの携帯電話を持っていないので、あなたのアカウントにログインすることはできません。
2 要素認証は、銀行の Web サイト、大手小売店 (Amazon など)、そしてもちろん、LastPass のようなセキュリティ指向のサイトやサービスでも一般的になりつつあります。使用しているサービスが 2 要素認証を提供している場合、通常はそれを利用しない理由はありません。セキュリティ侵害が深刻な問題や個人情報盗難のリスクを引き起こす可能性があるサービス (銀行やパスワード マネージャーなど) では、少なくとも 2 要素認証を使用する必要があります。設定方法の詳細については をご覧ください。これは、アカウントを安全に保つためにできる最善の方法の 1 つです。
適切なパスワードの実践は魅力的なものではありませんが、非常に必要です。 「ああ、すべてに同じパスワードを使うのは本当にやめるべきだ」と思いながら、電子メールのログインと銀行の両方にまったく同じパスワードを入力していることに気づいたまま、もう 1 年が経過しないようにしてください。来年、さらに別のデータ侵害が発生して、最悪のパスワードの大量のリストが新たに作成されたとしても、一喜一憂する必要はありません。なぜなら、長く、複雑で、ユニークなパスワードがすべて整理されるからです。
画像クレジット: Automobile Italia 。
