- 68784 PV科学的に偽りであることが証明された体に関する10の迷信
- 43010 PV一人暮らしの電気代を節約する方法
- 25964 PV怠惰の誘惑に負けない! 在宅勤務でモチベーションを保つために
- 17769 PV常に家をキレイに保つには家の中を毎日20分ずつ30日に分けて掃除するといい
- 17725 PV写真嫌いなあなたへ~写真に上手く撮られるためのコツを教えます!
- 17518 PV5つの簡単な動作で目指せほっそり小顔!
- 16783 PV昼寝の効果を最強にするために、理想的な昼寝時間を「Take a Nap Nap Wheel」で知る
- 16670 PV100円から手に入るスマフォスタンド
- 16593 PVMacのダイアログ画面の選択肢を「tab+space」で選択するミニハック
- 16348 PVバインダークリップ二つでスマートフォンドックをDIY
- 15992 PV人生を変えるにはその90%を占める「自分の態度」を変えるべし
- 14147 PVキツくなった服はショッピングに行くための口実ではなく、ダイエットするためのモチベーションとして考えよう
- 13475 PV人気ToDoリストアプリ『Wunderlist』のウェブアプリ版「Wunderkit」がリリース
- 13187 PVWindowsとMacでパソコンの起動音をミュートする方法
- 12758 PV養命酒以外の「薬酒」まとめ
- 12696 PV毎日少しずつ努力することが「大きな目標」を達成する近道
- 12248 PV仕事場探訪:ガジェットとゲームと猫の住む「森」オフィス
- 11760 PV[Androidアプリレビュー]時間、日付、バッテリーを常時表示 画面右上の頼れるやつ『Migiued』 #TABROID
- 11312 PVアイコニックホーム画面~究極のホーム画面を求めて
- 11000 PV米を一晩水に浸してジューサーにかければOK! ライスミルクの簡単レシピ
セキュリティ対策にはまず敵を知れ、「パスワードはどうやってハッキングされるのか?」
メールはもちろん、オンラインバンキングやネットショッピングに至るまで、IDとパスワードさえあれば、何でもできるこのご時勢。しかし、アナタのIDとパスワードがあれば、誰でもアナタに「なりすまし」て、何でもできてしまうという恐ろしいリスクがあることを忘れてはいけませんね。
そこでこちらでは、セキュリティ対策には、まず「ハッキング」という敵を知ることから...ということで、「パスワードはどうやってハッキングされるのか?」について、見ていくことにしましょう。
米ウェブベンチャー「iFusion Labs」のCEOである、John Pozadzidesさんは、パスワードをハッキングする手順や発想などについて、以下のように述べています。
「ありがちなパスワードトップ10」は以下のとおり。全体の20%は、これらでカバーされると考えられる。
- 「0」もしくは「1」に続けて、配偶者、子ども、またはペットの名前
- ソーシャルセキュリティーナンバー(米国の社会保障番号)の下4ケタ
- 「123」、「1234」、または「123456」
- 「password」
- 出身地の都市名、出身大学名、フットボールチームの名前
- 本人、配偶者もしくは子どもの誕生日
- 「god」
- 「letmein」
- 「money」
- 「love」
ハッカーたちは、個人情報を入手するため、様々なツールを開発している。自分の個人情報を安全に守れるか、漏洩してしまうかは、パスワード次第。皮肉なことに、このベストなセキュリティが軽視されているのが現状だ。
個人情報のアクセスで、最もシンプルな方法が「総当たり攻撃」。考えうるすべてのキーをリストアップし、片っ端から解読にトライする方法だ。Insecure.orgではこちらのページで、パスワード破りのためのフリーツールトップ10を挙げている。
では、実際にどのように個人のセキュリティを破るのだろうか?ロジックはこんな具合だ。
- おそらく多くのウェブサイトやウェブサービスで、同じパスワードを使っているだろう、と考える。
- 銀行やVPNでは、セキュリティ度の高いパスワードを設定しているだろうから、ここから侵入するのは避ける。
- 一方、オンライン掲示板やオンラインショッピングサイトなどでは、セキュリティをあまり気にしていないかもしれないので、ここから取り掛かる。
- 「Brutus」や『wwwhack』、「THC Hydra」などで、片っ端からログインIDとパスワードにトライする。
- ログインIDとパスワードのペアが見つかったら、ターゲットとなるサイトでテストする。
ただし、オンラインバンキングで利用している銀行やログインIDのcookiesが、暗号化されずにそのままウェブブラウザのキャッシュに残っている可能性があることにも、注意が必要(このテーマについては、こちらのブログ記事も参照のこと)。
ハッキングの時間は、パスワードの長さと複雑さ、ハッカーのコンピュータ速度、ハッカーのインターネットの接続速度によって異なる。
以下の表で一目瞭然のとおり、小文字のみのものと、全ての文字種を使ったもの(大文字、小文字、@#$%^&*といった特殊文字)とでは、セキュリティ強度は大きく異なる。小文字のうちの1つを大文字に代える、アスタリスクを1つ加えるといっただけで、パスワード破りに必要な時間は、ぐっと長くなるのだ。また、辞書に載っている語は使わないのも鉄則。1000倍も速く破られてしまう。
設定したパスワードは、記憶しておく必要がある。他人からは推測されず、一般的な語や語句を使わずに、記憶しやすいパスワードにするコツとしては、以下のようなものが挙げられる。
- 「o(オー)」の代わりに「0(ゼロ)」を使うなど、文字と似た数字を使う。(例: modelTfordを「m0d3ltf0rd」)
- 小文字のいくつかを大文字に代える。(例: Mod3lTF0rd)
- 子どもの頃に好きだったものを考える(ただし人の名前は避けること)。
- お気に入りの場所、クルマ、レストランなどを使う。
- パスワードを思いついたら、「Microsoft's password strength tester」などのツールで、セキュリティ度をチェックする。
くれぐれも、ユーザ名とパスワードは、全てにおいて違うものを設定すること。たくさんのパスワードを覚えるのは難しいので、パスワードマネジャーツールを活用するのも一法だ。個人的にオススメなのは、Windowsユーザ用の『Roboform』。全てのパスワードを暗号化フォーマットで保存し、マスターパスワードひとつで、全てのものにアクセスできる仕組みになっている(具体的な使い方は、こちらのページの動画も参照のこと)。Macユーザには、『1Password』がある。(ちなみに、『KeePass』や、ライフハッカーで紹介した「LastPass」も同様のツールです)また、普段あまり気を使っていないパスワードが、実は重要な場合もある。たとえば「メールには見られて困るものは入っていないから...」と思っていても、このメールボックスから侵入され、オンラインバンキングなどの、重要なパスワードが盗まれたり、勝手に変更されたりすることもある。
いかがでしたか?
Johnさんによると、これはハッキング方法のごく一部とか。「ちょっと考えすぎなんじゃないの?」、「自分はたぶん、大丈夫だろう」とタカをくくらずに、現在利用しているパスワードのセキュリティ度を、ちょっと見直してみましょう。パスワード系の記事をまとめた「パスワードで『あ、あれ?』とならないための17選」もあわせて参考にしてみてください。
How I'd Hack Your Weak Passwords [One Man's Blog]
John Pozadzides(原文/訳:松岡由希子)
- セキュリティ対策にはまず敵を知れ、「パスワードはどうやってハッキングされるのか?」
- 「8ケタなら安心」はもう古い! パスワードは12ケタが必須という説
- ウェブアプリ開発歴15年の筆者が勧める、1つのパスワードによるセキュリティ強化法
- パスワードの強さをテストできる「How Secure Is My Password」
- パスワードを記録し、暗号化するための、超アナログな方法
- ハッカーがあなたのパスワードを破るまでにかかる時間は?
- 再ハックの可能性? ソニー、PSNパスワード変更システムを一時凍結
- 増え続けるXbox LIVEのセキュリティ被害、マイクロソフトはまだ「大丈夫だ、問題ない」?
- 出退勤の改ざんは法律違反?
- 無料会員募集中! 超本格的ホロスコープ占い『マイスピ占星術』オープン!!
- 未来とスマホの可能性を感じる! PCをAndroid端末から遠隔操作できる『TeamViewerでリモートコントロール』
- Androidで見ているURLをChromeへ送信!『Chrome to Phone』とセットで使いたい『Phone 2 Chrome』
このエントリーのトラックバックURL :
戻る