パスワード保護とは?

パスワード セキュリティとは、組織のデータを攻撃から守るために既知の弱いパスワードとその変形、およびその組織に固有の弱い用語を検出してブロックすることです。

パスワードは、デバイスとオンラインのアカウントへの未承認のアクセスに対する最初の防衛線です。パスワードが強いほど、デバイス、ファイル、アカウントの保護も強くなります。

パスワードを保護するための最善の方法は次のとおりです。

• 強いパスワードを作成します。長さ 12 文字以上で、英大文字と小文字、句読点が含まれるものです。キーボードやキーパッド上で記憶しやすいパスは避けてください。
• 同じパスワードを複数のアカウントで使用しないでください。
• パスワードをオンライン上の安全な場所に保管し (たとえばパスワード マネージャーを使用)、オフラインでも保管します。
• アカウントへのアクセスを獲得するには 2 種類以上の本人確認が必要となる、多要素認証を使用します。
• ウイルス対策とマルウェア対策のソフトウェアをデバイスにインストールします。これで疑わしいアクティビティが検出されてユーザーに通知されます。

パスワードを盗むには、次のようにさまざまな戦術が用いられています。

• ブルート フォース攻撃。アカウントとシステムへの未承認アクセスを獲得するために、試行錯誤を繰り返してパスワードとログイン資格情報を割り出す (クラック) という方法です。
• 資格情報スタッフィング。オンライン アカウントへの未承認アクセスを獲得するために、盗んだユーザー名とパスワードを自動化した方法で使うというものです。
• 辞書攻撃。パスワードを割り出すために、辞書にある単語を 1 つずつ入力する、その単語を文字や英数字で置き換えた派生形を使う、および漏洩したパスワードとキー フレーズを使うというものです。
• キーロギング。ソフトウェア プログラムを使ってユーザーのキーボード打鍵、たとえば PIN、クレジット カード番号、ユーザー名、パスワードなどを追跡するというものです。
• マルウェア (malware) つまり悪意のあるソフトウェア (malicious software)。コンピューター システムに損害を与える、または悪用することを目的とし、多くの場合はパスワードを盗みます。
• パスワード スプレー。アカウントのロックアウトを回避し、見つからないようにするために、1 つのパスワードを多数のアカウントに対して使うことです。
• フィッシング。ハッカーが本物の機関や販売業者になりすましてユーザーをだまし、その資格情報を公開させるというものです。

パスワードの強度とは、パスワードが攻撃に対してどの程度有効かを測定するものです。パスワードの強度はその長さ、複雑さ、推測の難しさによって決まります。

強いパスワードは、サイバー攻撃に対する最初の防衛線であり、セキュリティ侵害のリスクを下げるのに役立ちます。一般的には長く、英大文字、小文字、数字、特殊文字が含まれているものです。強いパスワードには、個人情報が含まれていてはなりません。例を次に示します。

• Pilot-Goose-21-Cheese-Wizard
• Pie_Bumpy_Dove_Mac44
• Oui.Mister.Kitkat.99