これを解決: 強力なパスワードを選択し、それを維持する方法

ユーザー名とパスワード

現代のテクノロジーと聞いて人々が連想するものがあるとすれば、それはパスワードです。 それらはどこにでもあり、私たちのほとんどは毎日何十もの目的でそれらを使用しています。 しかし、ほとんどの人はパスワードのセキュリティについて驚くほど無関心です。 おそらく私たちのほとんどは、同じパスワードを使用している人を知っているでしょう。 すべて、コンピューターや電子メールから Facebook や銀行口座に至るまで、そのパスワードは誕生日や育った通りの名前と同じくらい明白なものである可能性があります。 また、モニターの側面に「パスワード」と書かれた付箋を貼っている人もおそらく知っているでしょう ( 赤の二重下線付き)Twitter から Netflix までのすべてのリストが公開されており、誰でも閲覧できます 読む。

こうした習慣は私たちの祖父母の世代のもののように聞こえるかもしれませんが、厳密にはそうではありません。先週、私はある番組を見ました。 ノートブックを使用して Samsung Galaxy S (えーっと、Fascinate) から HTC Rezound に移行しようとしているジェネレーション D の完全に羽ばたいたメンバー コンピューター。 彼はどのようにしてすべてのパスワードを移行したのでしょうか? 彼は財布の中に「すべてのパスワード」が記載された紙を持っていた。 全て 彼が言ったのは 三つ。 1 つは電子メールとソーシャル ネットワーキング用、もう 1 つは大叔母の電子メール用 (「彼女のためにチェックしています」)、そしてもう 1 つはその他すべて用です。 彼の肩越しに見ると、3 つはすべて日常の言葉でした。 モパンドル、つぶやく人、 そして リリアン。 どれが彼の叔母のものだと思いますか?

おすすめ動画

幸いなことに、パスワードを推測しにくく、覚えやすいものにする簡単な方法があります。 残念ながら、 テクノロジー業界がそれらの使用の邪魔をすることがあります。 ここでは、一般的なパスワードの弱点の概要と、パスワードとオンラインの安全性を向上させるいくつかの方法を紹介します。

曖昧さと複雑さ

パスワードに関する一般的な自明の理は、パスワードは次のとおりである必要があります。 一度もない 推測しやすいこと。 テクノロジーに精通したほとんどの人は、自分自身に関する詳細情報をパスワードとして使用すべきではないことに同意しています。 友人や家族(両親、兄弟、配偶者、子供、子供などを含む)の誕生日、住所、名前 ペットでも)。 同様に、

パスワード 他のすべてのパスワードと同様に、非常に貧弱なパスワードを作成します よく使われる使い捨てパスワード.

この常緑のアドバイスは、パスワードを次のようにする必要があるという意味に解釈されることがよくあります。 あいまいな、 あるいは、100万年もあれば誰も選ぶとは思わないだろう用語。 はい、わかりにくいパスワードでも機能します。明白なパスワードを選択するよりもはるかに優れています。 ただし、あいまいなパスワードは、あなたについて何かを知っている人からあなたを守るだけです。 おそらくほとんどの人があなたのパスワードを解読しようとしているでしょう しないでください あなたを知っています。

ほとんどのパスワードクラッキングは、映画で描かれているような方法では起こりません。 悪役) キーボードの前に座り、フレーズを 1 ~ 2 つ試し、あごをこすってから、子供の頃の写真を覗き見します デスク。 ああ! 魔法の言葉を入力して、 プレスト、 セキュリティを回避されました。 現実世界では、パスワードクラッキングの大部分は文字通りコンピュータによって自動化されています。 辞書にあるすべての単語 (そして一部) をシステムに投げつけて、 正しい用語。 このアプローチが機能するのは、コンピューターが人間がパスワードを入力するよりもはるかに速くパスワードを試行でき、トイレ休憩なしで 1 日 24 時間、年中無休で実行できるためです。 自動パスワード クラッカーは、侵害しようとしているユーザーについて何も知りません。これはブルートフォース手法です。

つまり、強力なパスワードの鍵は、 あいまいさ しかし、それは 複雑 — 自動パスワード クラッカーによって推測されにくくするもの。 ただし、優れた複雑なパスワードを作成するには、パスワードがどのように破られるかについて少し知っておく必要があります。

シャッターストックのパスワードキーパスワードを破る

非常に一般的に言えば、パスワード クラッカーには通常 2 つのアプローチがあります。 1 つは、文字通り、使用可能なパスワードの事前にコンパイルされたリストを試すことです。 これらは通常、非常に一般的なパスワードから始まります (例: パスワード または クワーティ形式)、あまり一般的ではない用語にまで進み、最終的にはオンライン辞書やその他のソースから編集された単語のリストを使用します。 このアプローチでは、たとえ不明瞭であっても、有効な単語またはその変形であるパスワードを見つけられる可能性が高くなります。

パスワード クラックのもう 1 つのアプローチは、意味に関係なく、文字、数字、記号の有効なシーケンスを試すことです。 このアプローチを使用するパスワード クラッカーは、次のようなものから始まる可能性があります。 ああああああ 8 文字のパスワードを試してください ああああああ それから ああああああ 大文字と小文字を混ぜたり、数字や記号を入れたりして、アルファベットを上に向かって進めていきます。 このアプローチでは、「機械に優しい」パスワードやランダムに生成されたパスワードが見つかる可能性が高くなります。 のようなパスコード 4De78Hf1 この方法で見つけるのはそれほど難しくありません ティーンエイジャー だろう。

では、パスワードが推測される確率はどのくらいでしょうか? 最近のほとんどのシステムでは、ユーザーは文字 (大文字と小文字)、数字、および選択した記号を使用してパスワードを作成できます。 許可されるシンボルはシステムによって異なることがよくあります (ほとんどすべてを許可するものもあれば、少数しか許可しないものもあります) が、ここでは次のようにします。 これは、パスワードの各文字が約 80 個の値 (それぞれ 26 文字のアルファベット 2 個、数字 10 個、および 18 個) のいずれかになることを意味すると仮定します。 シンボル。 (理論的には、すべての文字に対して少なくとも 127 の値が使用可能である必要がありますが、実際にはこれよりも少ない数になります。)

純粋にブルートフォース手法を使用すると、1 文字のパスワードをランダムに割り出すには最大 80 回の推測が必要になることになります。 4 文字のパスワードでは 4,000 万回以上の推測 (80 × 80 × 80 × 80 = 40,960,000) を超える可能性があり、8 文字のパスワードでは 1.6 千兆回以上の推測 (1,677,721,600,000,000) を超える可能性があります。

パスワード クラッカーが 1 秒間に 1,000 回の推測を行うことができた場合、4 文字のパスワードのすべての組み合わせを実行するには約 1 か月かかり、53,000 回以上のパスワードを実行する必要があります。 8 文字のパスワードのすべての組み合わせを実行します。 それはかなり安全だと思われますよね?

いや、そうではありません。 純粋に統計的に言えば、クラッカーがパスワードを見つける確率は 50/50 です。 半分 その時。 さらに厄介なことに、パスワード クラッカーを作成する人々は、確率を高める別の方法を持っています。 方法を覚えておいてください パスワード 使用するのに最悪のパスワードの 1 つでしたか? 非常に悪いパスワードとは何でしょうか? パスワード0rd、 文字 O を数字のゼロに置き換えます。 パスワード クラッカーは辞書から一般的な単語を実行すると同時に、その一般的な単語の変形も試します。 単語、O をゼロ、A を @​​ 記号と 4、E を 3、I を 1 と !、T を 7、S を 5 に置き換えます。 すぐ。 同様に、 0qww294e ひどいパスワードです - それだけです パスワード 標準の英語キーボードでは 1 行上にシフトします。 これらの手法は、覚えやすいパスワードを求めるユーザーの好みを食い物にします。 残念ながら、覚えやすい用語の 1 文字または 2 文字を置き換える(または大文字にする)ことで、ほとんどの場合、パスワードはよりわかりにくくなりますが、安全性はそれほど向上しません。 実際、ユーザーが選択した、大文字と小文字、数字、記号が混在する一般的な 8 文字のパスワードには、通常、エントロピーが約 30 ビットしかなく、組み合わせ可能な組み合わせは 10 億をわずかに超えています。 なぜ? なぜなら、人々がパスワードの基礎とする用語のリストは、文字、数字、記号の可能な組み合わせの合計よりもはるかに小さいからです。

パスワードはどれくらいの速さで破られるのでしょうか? 1 秒間に 1,000 個のパスワードを試すのは不可能に思えるかもしれません。結局のところ、ほとんどのサービスは、次のような場合に私たちを自分のアカウントから締め出す傾向があります。 パスワードを 3 ~ 4 回間違えると、パスワードがリセットされ、新しいパスワードを作成するためにセキュリティの質問に答える必要が生じることがよくあります。 1つ。 これらの「ゲートウェイ」テクニック する アカウントのセキュリティを向上させるだけでなく、人々を悩ませる非常に簡単な方法でもあります。 (パスワード攻撃によって iTunes アカウントからロックアウトされた回数はわかりませんが、おそらく 100 回以上です。)

ただし、パスワードを破ることを目的とした攻撃者は、サービスの正面玄関をノックして、同じアカウントへのログインを(文字通り)何百万回も試行するわけではありません。 彼らは、ロックアウトの対象ではないあまり公開されていない認証方法 (パートナーやアプリ向けのプライベート API など) を使用しているか、認証方法を拡散しています。 ロックアウト期間を回避するために広範囲のアカウントにわたる攻撃、または (最良のシナリオ) 盗まれたパスワードにパスワードクラッキング技術を適用する データ。 ほとんどのシステムは保存するパスワード データを暗号化しますが、暗号化されたファイルの安全性はシステム自体と同じ程度です。 攻撃者が暗号化されたパスワード ファイルを(セキュリティ ホールを通じて)入手できた場合、侵害された 手始めに、マシン、またはソーシャル エンジニアリングなど)それが独立すると、非常に迅速に攻撃できるようになります。 システム。 そのため、攻撃者がアカウント情報を取得するという記事( ストラトフォー, イプシロン, ソニー、 そして ザッポス)は困っています。 暗号化されたデータがこじ開けられると、攻撃者はさらに強力なツールを適用してデータを解読することができます。

パスワードクラッキングシャッターストック

現実の世界では、1 秒あたり 1,000 パスワードという数字は非常に控えめであることを意味します。 最近の一般的なデスクトップ コンピューティング ハードウェアは、テストすることができます。 何百万もの 一般的な暗号化テクノロジーに対して、1 秒間に 1 秒あたりのパスワードを検出します。 同様に、グラフィック プロセッサを利用したパスワード クラッキング ツールが現在存在しており、犯罪的なボットネット オペレーターもパスワード クラッキング ビジネスに携わっています。 ワークロードを何千台ものコンピュータに分散させることができます。 この生のパワーを洗練されたヒューリスティックと組み合わせます (数字と文字のバリエーションを試すなど)。 一般的な単語)、典型的な 8 文字のユーザー パスワードを 0.5 秒以内に解読することは珍しいことではありません。 時間。

自分の足を撃つ

8 文字のパスワードに大文字、小文字、数字、記号を使用すると、1 文字をはるかに超える長さになる可能性があることを上で説明しました。 可能な組み合わせは 1000 兆通りありますが、現在使用されている 8 文字のパスワードのほとんどは、わずか約 10 億個のパスワードの中に収まります。 組み合わせ。 それは、人間は機械ではないからです。 コンピュータがどちらかを使用することに満足している場合 カメ または Y&4nS0\2 パスワードとして、人間にとってどれが覚えやすいでしょうか? さて、どちらがより安全であるか考えてみましょう。

一部のシステムでは、ユーザーが簡単に破られるパスワードを使用しないようにすることを目的としたパスワード要件を実装しています。 一般的なアプローチは、ユーザーのパスワードに少なくとも 1 つの大文字、1 つの数字、1 つの記号を含め、少なくとも 8 文字の長さを要求することです。 (一部のシステムでは要件を強制しませんが、パスワードがどの程度効果的であると考えているかを示す尺度として「パスワード強度」のゲージを提供します。 一部のシステムでは、ユーザーがパスワードを定期的に (たとえば 30 日または 45 日ごとに) 変更し、再利用できないようにする必要もあります。 パスワード。

このような要件 する パスワードの安全性は高まりますが、同時にパスワードを覚えにくくなります。 これは、ユーザーのかなりの部分が、自分の都合のためにシステムのセキュリティを破壊する方法をすぐに思いつくことを意味します。 確かに、次のようなパスワードに対処できる人もいます。 9.3nDs(# しかし、他の多くの人は、パスワードを書き込んだ付箋をモニターの側面に貼ったり、メモをメモ帳に貼ったりして応答するでしょう。 ウォレット、またはデスクトップ上の Microsoft Word 文書には「パスワード」というラベルが付けられており、いつでもコピーして貼り付けることができます。 必要。 また、パスワード構築要件は生産性を低下させ、サポート コスト (従業員と従業員の両方) を増加させる傾向があります。 顧客)、パスワードを忘れたり、アカウントからロックアウトされたりする人が増えるため、手動が必要になります。 介入。

複雑なパスワードを作成する

パスワードの聖杯は、次のようなパスワードであるように見えます。 複雑な 自動化された技術を使用して解読するのは非現実的ですが、ユーザーが安全でない方法で保存したり管理したりしてセキュリティを侵害しないことを覚えておくのは簡単です。

複雑で覚えやすいパスワードを作成するためのヒントをいくつか紹介します。

  • 長いパスワードを使用してください。 8 文字のパスワードに 1.6 京通りの組み合わせがある場合、16 文字のパスワードには何通りの組み合わせがあるかを想像してみてください。 (約 2.8 億、または 2.830.) しかし、おそらくもっと重要なのは、一般的な用語を使用した 16 文字のパスワードの一連の値です。 バリエーションは 1.2 京弱ですが、8 文字の場合は 10 億強でした。 パスワード。 長いパスワードを使用することは、パスワードをより複雑かつ安全にする最も簡単な方法です。
  • 組み合わせた単語を使用します。 覚えやすい長いパスワードを作成するにはどうすればよいですか? 一般的なテクニックの 1 つは、3 つから 5 つの単純な一連のメソッドを使用することです。 無関係 条項。 これらは通常、PIN 番号と同じくらい覚えやすいものです。 認知的には、人は単語全体を単一の単位として記憶する傾向があります。 ただし、少なくともパスワードクラッキングの観点からすると、これらのパスワードは非常に複雑になる可能性があります。 そして、これらのパスワードは、周りを見回したり、本をランダムなページにめくったりするだけで簡単に作成できます。 窓の外をちらっと見ると、カエルのおもちゃ、車、そして誰かの家の簡易キッチンの窓が見えます。 新しいパスワード: カエルハブキャップ食器棚 — これは 18 文字ですが、覚えるべき単語は 3 つだけです。 右を見ると: ランナーカメラ接着剤文字列 — 4 つの短い単語、22 文字。 大文字は単語を区切るためにのみ使用しました。 より多くの文字や置換を追加すると、複雑さが増す可能性があります。ただし、複雑になりすぎて、強力なパスワードの弱点に陥ることのないように注意してください。
  • フレーズや歌詞を使用します。 長いパスワードを作成するもう 1 つの方法は、フレーズや歌詞の一部を使用することです。 歌詞に関しては、あなたにとって特に重要な曲よりも、比較的一般的な曲の方が良いかもしれません。繰り返しますが、あなたは望んでいません。 あなたをよく知っている人は、あなたがマイケル・ボルトンの大ファンであるというだけで、パスワードを推測できるでしょう(またはそうでない)。 フェーズや歌詞から作られたパスワードの例は次のとおりです。 あなたはジャック・ケネディではありません (19 文字)、 iショタマニンリノ (15文字)、 インピーピンナンディムクリーピン (20文字)。
  • ニーモニックを使用します。 長いパスワードの欠点は、特にモバイル デバイスでは入力が難しいことです。 一部の人々が複雑で短いパスワードを生成するのに役立つと考えるもう 1 つのテクニックは、フレーズや歌詞のすべての単語の最初の文字を使用することです。 「人はいくつの道を歩まなければならないか」 ふむふむ- わずか 8 文字ですが、パスワードクラッキング プログラムの観点からすると比較的複雑です。 同様に、「ポラロイド写真のように振って、振って」も次のようになります。 シシラップ — 素晴らしいとは言えないかもしれないが、それよりは優れている カメ。 このトリックは、パスワードの長さに制限があるシステムで適切なパスワードを生成するのにも役立ちます。

これらのガイドラインは通常、覚えやすく複雑なパスワードを考えるのに役立ちます。 もちろん、構成要件のあるパスワード システムを扱う場合 (つまり、大文字と小文字の混合が期待されます)、 数字や記号など)条件を満たすためには、パスワードに風変わりなひねりを加えなければなりません。 要件。 長いパスワードを使用すると、わかりやすい場所で置換や変更を行うことができることを覚えておいてください。 通常、これらの長いパスワードは、短くてナンセンスなパスワードよりも、要件があっても覚えやすいです。 パスワード。

その他のヒント

パスワードを選択するときに考慮すべきその他の事項:

  • 別々のサービスには別々のパスワードを使用してください。 ソーシャル ネットワーキングのパスワードをオンライン バンキングに使用しないでください。 1 つのサービスでパスワードが漏洩したとしても、他のサービスは安全であるはずです。
  • 重要なパスワードは慎重に選択してください。 シングル サインイン システムは非常に便利ですが、複数のサービスに対して単一障害点が発生することもあります。 例としては、Google、Yahoo、Microsoft サービスのアカウントのパスワードが挙げられます。これらの場合、単一のパスワードがクラックされると、 誰かが電子メール、文書、写真、ソーシャル ネットワーキング、ブログ、フォト ライブラリ、連絡先リスト、アドレス帳などにアクセスします。 もっと。 同様に、非常に多くのサイト ( デジタルトレンド) Facebook や Twitter のログインを受け入れる場合、ソーシャル ネットワーキングのパスワードが侵害されると、広範囲にわたる影響が及ぶ可能性があります。
  • パスワードを変更します。 パスワードの 1 つが破られたら、すぐにわかると思いがちです。メールやブログは消えてしまいます。 lulz グラフィックのセットになり、Amazon ギフト リストが恥ずかしいオプションでいっぱいになる可能性があり、PayPal アカウントが削除される可能性があります 外。 ただし、常にそうとは限りません。誰かがパスワードを解読しても、少なくともすぐには明らかな兆候は見られない可能性があります。 パスワードを定期的に変更することで、たとえ誰かが侵入したとしても、悪用される機会が限定されるようになります。 パスワードを変更する頻度は、オンライン サービスの使用方法によって異なります。 リアルマネーに関わるものについては、通常、ユーザーに 30 ~ 90 日ごとにパスワードを変更することをお勧めします。金額が大きいほど、より頻繁に変更する必要があります。

パスワードがないのは安全です

おそらくパスワードに関して覚えておくべき最も重要なことは、 どれでも パスワードは解読される可能性があります。それは、誰かがそれにどれだけの時間と労力を費やせるかだけの問題です。 ここでのヒントは、ランダムな攻撃者、さらには友人や家族によってパスワードがルート化される可能性を減らすのに役立ちますが、完全に安全なパスワードはありません。 サービスへの安全なアクセスが非常に重要である場合は、不正アクセスの可能性をさらに減らすために、さまざまな形式の多要素認証を検討することを検討してください。

画像クレジット: シャッターストック / ジャムデザイン / タチアナ・ポポワ / ペドロ・ミゲル・ソウザ

編集者のおすすめ

  • これらの恥ずかしいパスワードが有名人をハッキングした
  • いいえ、1Password はハッキングされませんでした – これが実際に起こったことです
  • Windows および macOS でフォ​​ルダーをパスワードで保護する方法
  • LastPass がどのようにハッキングされたかを明らかに - それは良いニュースではありません
  • Reddit がハッキングされました - アカウントを保護するために 2FA を設定する方法は次のとおりです