複雑で強力なパスワードには、意味がないという論文が発表されています。
Do we really need strong passwords? | Naked Security
ネットワーク経由でパスワードを変えながらログインを試みる攻撃であれば、サイト管理者に気づかれるか、サイトに負荷をかけダウンさせてしまう可能性が高くなります。
そのため、約100万回の試行で破られないパスワードであれば、この種の攻撃に耐えられるということです。数字と英字だけの8桁のパスワードでも大丈夫だということです。
ダメなパスワード
「12345678」や「password」のようなパスワードは、ダメなパスワードの代表です。このように簡単に推測できるパスワードを除けば、無理に記号を混ぜたり、長くしたりして覚えにくいものにしても、効果はあまりないことになります。
ダメなパスワードを使っていると、パスワードを固定してアカウント名を変えながらアクセスを繰り返す攻撃に弱くなります。この攻撃は、複数回のログイン失敗でロックされることもなく、時間を空けて攻撃すれば、サイト管理者に気づかれることもなく、サイトをダウンさせることもありません。
パスワードの共用
アカウント名とパスワードをあちこちのウェブサービスで共用していると、どこかで流出したときに、他のサービスにもログインされてしまいます。LINEやFacebookの乗っ取りは、これが原因ではないかと言われています。
アカウント名として普段使うメールアドレスを推奨するサービスが多いため、パスワードを同じにすると、アカウント名とパスワードを共用することになります。
少なくとも他人に使われたくない情報が登録されているウェブサイトのパスワードは、すべて別のものにすることです。
よりセキュリティを高めるためには、アカウント名に使うメールアドレスをサービスごとに変えることもできます。アカウント名に指定したメールアドレス宛てに届いたメールは、普段使うメールに転送する設定をしておけば、サービス会社からの連絡も受け取れます。
パスワードの定期変更
インターネットバンキングなどでは、パスワードの定期変更を要求されます。パスワードの定期変更は、パスワードが漏えいした時に、そこで情報の流出を止めることができます。しかし、それまで不正アクセスを止めることはできません。
手間を考えると有効性に疑問が残る方法です。
まとめ
ウェブサイトのパスワード設定で絶対に避けなければならないことは、2つです。この2つを守れば、数字と英字を組み合わせた8文字のパスワードでも十分だということです。
簡単なパスワード
「12345678」や「password」のようなパスワードは絶対に避けなければなりません。辞書に出ている言葉をそのまま使ったパスワードも避けるべきです。
4桁の数字となっているパスワードでは、日付を意味するパスワードも避けるべきです。日付は366通りしかありません。4桁の数字は1万通りあります。サーフィンをする人の「1173」のようなパスワードも避けた方がいいパスワードの代表です。
共用
アカウント名とパスワードの組み合わせを共用することも避けるべきことです。
ニュースサイトを見るだけのアカウント名とパスワードは、共用してもいいですが、情報を登録するサイトと共用してはいけません。流出すると情報を勝手に書き換えられる可能性があります。
