1つの同じパスワードを使いまわす危険性をお分かり頂けたでしょうか。クレデンシャル・スタッフィング攻撃の被害者にならないためにも、強力なパスワードの作成、安全な管理が重要です。安全なパスワード設定・管理にあたって、いくつかポイントをご紹介します。
(1)規則性が無い、無作為の文字列にする
最も安全なパスワードとは、長く無作為に羅列された文字と数字の組み合わせです。「最悪のパスワード」と呼ばれるような”123456”、”password”などは絶対に設定しないようにしましょう。また自身の生年月日や、”qwerty”なども危険です。
(2)長さは12桁以上にする
パスワードは、長ければ長いほどその安全性が高まります。最少でも8桁、推奨は12桁以上のパスワードです。その際、色々な文字種(アルファベット大文字・小文字、数字、記号)を組み込めば更に安全性が高まります。
(3)十分な長さがあり、覚えやすい文章で設定する
自身が好きな名言、文章、場所などを活用する方法です。1つだけではなく、2つ組み合わせれば更に強力になります。
(4)パスワード管理ツールを利用する
サービスごとに安全なパスワードを設定すると、どうしてもパスワードを覚えられないという問題が発生します。その際にパスワード管理ツールが活躍します。管理ツールに各サービスのログイン情報を記録させると、ツールから自動でログイン情報を入力できるようになります。管理ツールのマスターパスワードさえ覚えておけば、各サービスのIDとパスワードを覚えておく必要はありません。
パスワード管理ツールには無料のもの、有料のものと様々な種類があります。サービス内容や機能、セキュリティを確認の上、検討しましょう。
(5)最も重要なサービスのパスワードは完全に分ける
業務と関連するサービスのパスワードや、オンラインバンキング・クレジットカードといった金銭に関連するサービスのパスワードなどは個別に設定し、他のものと一切関連しないように設定します。
(6)2段階認証を利用する
ウェブセキュリティ強化の為、最近ではこの2段階認証を採用している企業が増えています。GoogleアカウントやApple ID、Dropbox IDなどで導入されています。
2段階認証とは、通常のID、パスワードの他に、さらに追加で認証を行うものです。ログインを行うと、登録している携帯電話にSMSや電話発信で認証コードが送られてきます。このコードを入力することによって初めて、該当サービスにログインが可能になります。認証コードは1度しか使えないもので、送信される度に変更されます。自分しか持っていないもの=携帯電話に認証コードが送られてくる為、非常に強力な認証方法です。万一、IDやパスワードが流出してしまったとしても、サイバー攻撃者はこの認証コードを知ることができない為、被害を防ぐことができます。
(7)ログイン情報の流出事故が発生したら、すぐにパスワードを変更する
利用しているウェブサービスで情報の流出事故が起きた場合には、すぐにパスワードを変更しましょう。その際、流出したパスワードを他のサービスで使いまわしていないかどうかも確認が必要です。変更せずに放置しておくと非常に危険です。