JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は4月4日、「適切なパスワードの設定・管理方法について」において、パスワードの適切な設定と管理方法について伝えた。パスワードを含むアカウントデータの窃取を目的としたサイバー攻撃、窃取したアカウントデータを悪用した不正行為は世界中で行われており注意が必要。

記事では、推奨されるパスワードの設定方法やパスワードの管理方法として次の項目を取り上げている。

  • 適切なパスワードの設定・管理方法について - 資料: JPCERTコーディネーションセンター(Japan提供

    適切なパスワードの設定・管理方法について - 資料: JPCERT/CC

推奨されるパスワード設定方法

  • 多要素認証が有効な場合は使用する
  • 異なるシステムに対しては異なるパスワードを使用する
  • 電話番号や誕生日など、個人情報を基にした文字列は使用しない
  • 可能な限り長い文字列を使用する
  • 特定の言語の辞書に載っているような単語を使用しない

推奨されるパスワード管理方法

  • パスワードを他人に教えない
  • パスワードを他人の目につく場所に残さない
  • パスワードを入力する対象が本来意図したもの(サイトなど)であることを確認する(サーバ証明書など)
  • パスワードを入力する際には、周囲から覗き込まれていないことを確認する
  • ネットワークを介してパスワードを送信する際には、通信経路が暗号化されていることを確認する
  • パスワードを聞き出すようなフィッシングメールや電話に注意する

また、システム側で実施する対策として次の方法が推奨されている。

システム側での対策方法

  • 多要素認証の仕組みを導入する
  • ユーザーがパスワードを忘れてしまった場合のリカバリ方法について、適切に設定を行う
  • アカウントロックの仕組みを導入し、適切に設定を行う
  • ユーザーのパスワードは、ソルトやハッシュ、ストレッチングを利用し、適切に保管する

窃取したアカウント情報を使った不正アクセスは後を絶たない状況が続いている。いったん漏れたアカウントデータは複数の攻撃に利用される傾向があり注意が必要。