「12345」は本当に悪いです：パスワードセキュリティへのあなたの究極のガイド

公開: 2022-01-29

パスワードを保存して使用する唯一の安全な方法は、パスワードマネージャーに依存することですが、聞いていない人もいます。パスワードに関するPCMagの調査では、パスワードマネージャーを使用していると報告したのはわずか24％でした。残りは何をしていますか？ passwordや12345678などの簡単なパスワードを使用していますか？ 1つの複雑なパスワードを覚えて、どこでも使用しますか？パスワードのセキュリティに注意を払うことは簡単なことではありませんが、7億7300万のハッキングされた電子メールアドレスを公開した最近のコレクション＃1の侵害に示されているように、リスクの規模が非常に大きいことを考えると、パスワードを保持するためにできる限りのことを行う必要があります。安全な。

最高のパスワードマネージャーを使用している場合でも、アカウントの安全性は保証されません。パスワードマネージャーを使用して同じ古くて疲れたパスワードを記憶している場合はそうではありません。あなたは塹壕に降りて、新しい、より強いもののために悪いパスワードを切り替える必要があります。

上記の調査では、違反によって強制されない限り、PCMagリーダーの35％がパスワードを変更しないことが明らかになりました。一般的に、それはそれほど悪いことではありません。米国国立標準技術研究所は、90日ごとにパスワードを変更することを推奨しなくなりました。 NISTは現在、「Correct-Horse-Battery-Staple」のような長いパスフレーズを使用し、必要な場合にのみ変更することを推奨しています。しかし、ひどいパスワードを使用している場合、「必要な場合」は今を意味します。

何が悪いパスワードを作るのですか？ひどいパスワードの属性のいくつかを見てから、パスワードを正しい方法で行う方法についていくつかの指針を示します。

辞書に近づかない

数か月ごとに、ある報道機関または別の報道機関が最悪のパスワードのリストを投稿します。 123456や12345678、qwertyなど、入力しやすいオプションがたくさんあります。簡単ですか？もちろん。しかし、ハッカーがクラックするのも簡単です。他の一般的な（そして貧弱な）パスワードは、単純な辞書の単語で構成されています。最悪のパスワードのリストに野球、猿、スターウォーズが含まれています。これらも割れやすいです。

不正なパスワード

一部の安全なWebサイトは、設定された回数の間違ったパスワードの試行後にロックダウンしますが、多くはロックダウンしません。悪意のあるロックアウトがない場合、ハッカーは電子メールアドレスのリストと一般的なパスワードのリストを照合し、自動化されたプロセスを設定して、侵入するまで組み合わせを試行し続けることができます。

適切に保護されたWebサイトでは、パスワードはどこにも保存されません。代わりに、一方向の暗号化の一種であるハッシュアルゴリズムを介してパスワードを実行します。同じ入力でも常に同じ出力が生成されますが、結果のハッシュから元のパスワードに戻る方法はありません。入力したパスワードが保存されているのと同じ値にハッシュされると、アクセスできるようになります。ハッカーがサイトのユーザーデータを取得したとしても、パスワードは取得せず、ハッシュするだけです。

しかし、スマートハッカーは、サイトで使用されているハッシュ関数を知っていれば、ハッシュされている場合でも弱いパスワードを解読できます。彼らは、ハッシュ関数を介して一般的なパスワードの巨大な辞書を実行することから始めます。次に、キャプチャされたデータで結果のハッシュを探します。各一致はクラックされたパスワードです。最高のセキュリティを備えたサイトは、ソルティングと呼ばれる手法でハッシュ関数を強化します。これにより、この種のテーブルベースのクラッキングは不可能になりますが、なぜリスクを冒すのでしょうか。辞書に近づかないでください。

違うと思う

友人がかつて私に彼女の完璧なパスワードを教えてくれました：1qaz2wsx3edc4rfv。彼女は、キーボードの4つの傾斜した列を指で下にスライドさせるだけで、それを「入力」できました。それはとても完璧だったので、彼女はどこでもそれを使用しました。そしてそれは大きな間違いでした。

ある会社やウェブサイトでの侵害のニュースがなく、数千または数百万のユーザー名とパスワードが公開されることなく、1週間はほとんど過ぎません。賢い被害者はすぐにパスワードを変更します。この問題を無視すると、ハッカーがパスワードをリセットした後、自分のアカウントからロックアウトされる可能性があります。

SecurityWatch

これらのハッカーは、あまりにも多くの人がパスワードをリサイクルしていることを知っています。有効なユーザー名とパスワードのペアを見つけたら、他のサイトで同じ資格情報を試します。 Club Penguinアカウントにアクセスできなくなる心配はあまりないかもしれませんが、銀行のWebサイトで同じログインを使用すると、大きな問題が発生します。

ひどくなる。他の誰かがあなたの電子メールアカウントを制御する場合、彼らは最初にパスワードを変更することによってあなたを締め出すことができます。次に、パスワードリセットリンクをそのアカウントに電子メールで送信することで、他のアカウントに侵入できます。まだ心配ですか？

個人的にならないでください

パスワードの基礎として個人情報を使用することはひどく魅力的ですが、それは悪い考えです。ハッカーがブルートフォース攻撃に使用する辞書にあなたの犬の名前が表示される可能性があります。家族のイニシャルや誕生日などの他の可能性は、おそらくブルートフォース攻撃には当てはまりませんが、誰かがあなたのアカウントを具体的にハッキングしたい場合、その個人データは試行錯誤の推測攻撃を助長する可能性があります。

あなたの個人情報が非公開であると少しの間考えないでください。住所、生年月日、結婚歴など、誰についての詳細を見つけるために人々が使用できるサイトは数十あります。ソーシャルメディアの投稿は、特にアカウントを適切に保護していない場合、個人情報の別のソースになる可能性があります。断固としたハッカー（またはおせっかいな隣人）は、おそらく自分のデータに基づいて作成したパスワードを推測できます。

バックドアを閉める

パスワードマネージャーを使用していない場合は、サイトのパスワードを忘れたことは確かです。それはあまりにも一般的です。そのため、事実上すべてのログインページに「パスワードをお忘れですか？」が含まれています。リンク。一部のサイトはあなたのメールアドレスにリセットリンクを送信しますが、他のサイトではセキュリティの質問に答えた後にパスワードをリセットできます。そして、それはあなたのアカウントをハッキングしたい人への裏口を開きます。

セキュリティの質問と回答

ほとんどのサイトは、セキュリティの質問に対してひどいオプションを提供しています。あなたの母親の旧姓は何ですか？どこで高校に行きましたか。あなたの最初の仕事は何でしたか？すでに述べたように、あなたの私生活はインターネット検索スキルを持っている人なら誰にでも開かれた本です。可能であれば、事前設定された質問は無視してください。常に覚えているが、他の誰も推測できない独自の答えを使用して、独自の質問を作成します。

サイトで独自の質問を定義できない場合は、さらに難しくなります。その場合、あなたの最善の策は、完全な嘘である記憶に残る答えを使用することです。私の母の旧姓はオバマです。私は共産主義殉教者高等学校に行きました。私の最初の仕事では、私は調教師でした。どちらの嘘を選んだか忘れてしまうかもしれないので、リスクの要素があります。これらの奇妙な答えを安全なメモとしてパスワードマネージャーに保存することをお勧めします…しかし、パスワードマネージャーを使用している場合は、パスワードを記憶しているはずです。

あなたが気にかけている今何をすべきか

個人情報からパスワードを作成するので、一般的なパスワードを使用することは腐った考えであると私が確信したことを願っています。そして、最も強力でランダムなパスワードでさえ、あちこちで使用すると責任を負います。行動を起こす準備ができている場合は、次のような出発点があります。

パスワードマネージャーを使用します。
より優れたパスワードマネージャーに切り替えます。
パスワードマネージャーのめちゃくちゃ安全なマスターパスワードを覚えておいてください。
ランダムパスワードジェネレータを利用して、古い不正なパスワードをアップグレードします。
Excelで独自のランダムパスワードジェネレータを作成することもできます。
可能な限り、2要素認証を有効にします。

安全なサイトがセキュリティを守っていない場合でも、データ侵害によってそのサイトの資格情報が失われる可能性がありますが、すべてのパスワードを長く、強力で、一意にすることで、オンラインアカウントを保護するためにできることはすべて実行できます。

そしてねえ！これで、セキュリティの面で問題が発生したので、仮想プライベートネットワーク（VPN）を追加することを検討してください。安全なサイトに強力なパスワードを使用することは、他の人があなたのアカウントに侵入できないことを意味します。 VPNを追加するということは、これらの安全なサイトへの接続をだれも傍受する可能性がないことを意味します。