Sucuriは12月26日(米国時間)、「How Passwords Get Hacked」において、攻撃者がパスワードをハッキングする手法を説明するとともに、攻撃者からパスワードを守るために、どのようにパスワードの選択と管理を行っていけばよいかについて説明した。
Sucuriは、攻撃者がパスワードを破る際に辞書攻撃ツールを使うことが多いと指摘。攻撃者は辞書攻撃ツールに既知のパスワードリストを読み込ませ、一致するまでパスワードの推測を試みる。攻撃の速度はオンラインかオフラインかによって大きく異なり、オフラインでGPUを活用された場合などは1秒間に最大200万回試行される可能性すらあると説明している。この方法なら、簡単なパスワードであればものの数分で突き止められるという。
こうした攻撃を受けても破られにくいパスワードとして、Sucuriは次のようなポイントを紹介している。
- パスワードは長くする
- パスワードは使い回さない
- パスワードは再利用しない
- パスワードは小文字、大文字、数字、記号を組み合わせる
- 名前、単語、日付など単語やフレーズは使わない
- 「aを@に」「iを!に」といった置換は意味がない
このようなパスワードを実現する方法として、Sucuriでは「パスワードマネージャ」を使うことを推奨している。
- パスワードマネージャは複雑で一意なパスワードを生成できる
- パスワードマネージャは複数のパスワードを管理できる
- パスワードマネージャはブラウザ拡張機能やモバイルアプリを経由してパスワードの自動入力をサポートしている
- Webブラウザやモバイルオペレーティングシステムがデフォルトで提供しているパスワードマネージャは使わない
- LastPass、KeePass、Dashlaneなどサードパーティ製のパスワードマネージャの使用を検討する(すべてが無償とは限らず、有償のサービスもあることに留意する)
Sucuriは、Webブラウザやオペレーティングシステムが提供しているパスワードマネージャの利用を推奨していない点が特徴的。サードパーティ製のパスワードマネージャと比べると、提供している機能が少ないため、サードパーティ製のパスワードマネージャを使うことを推奨している。
また、有償のパスワードマネージャの利用にかかる料金は、パスワード管理の心配を払拭するということを考えればわずかな支払いと評価している点も興味深い。
強いパスワードを作る方法は、セキュリティファームやセキュリティベンダー、情報セキュリティ当局が定期的に発信している。どれも似たような内容になるが、時代とともに主張される内容が徐々に変わっていることには注意が必要。最近は、パスワードマネージャの利用を当たり前のものとして取り扱っていることが多い。
