パスワードはインターネットや日常生活における情報セキュリティの要だ。しかし、依然として問題のあるパスワードが使われており、世界中で毎日何らかの情報セキュリティインシデントが発生している。パスワードの利用に関しては、念には念を入れても入れすぎということはないような状況だ。
Sucuriは6月11日(米国時間)、「Password Attacks 101」において、パスワード攻撃の基礎知識、実践すべきパスワードベストプラクティス、現在向かおうとしている次のステージ、などパスワードを適切に活用するために必要になる基礎知識を公開した。パスワードに関する情報がわかりやすくまとまっており、参考になる。
記事では、まずパスワードに関する次の3つの代表的なサイバー攻撃手法を説明している。
- ブルートフォース攻撃 - あるアカウントにアクセスするために多くのパスワードを試すこと
- パスワードスプレイ - 最小限のパスワードを可能な限り多くのアカウントで試すこと
- クレデンシャルスタッフィング - 窃取したり流出したりした認証情報を使ってほかのサービスにアクセスすること
ブルートフォース攻撃とパスワードスプレイはパスワードを推測するという点では同じだが、単一のアカウントに対して可能な限り多くのパスワードを試すのか、少ないパスワードを可能な限り多くのアカウントに試すのか、そのアプローチの方法が異なっている。
ブルートフォース攻撃は古くから存在しており、こうしたサイバー攻撃に対処するためにパスワード入力のリトライ回数に制限が設けられていることがある。パスワードスプレイやそうしたサービスに対しても効果的に使えるサイバー攻撃で、制限にひっかかることなくパスワードの推測を続けることができる。
さらに、推奨されるパスワードの使い方のポイントとして、次の項目が挙げられている。
- できるだけ複雑で長いパスワードを使用する
- パスワードはアカウントやサービスごとに変え、同じパスワードを使い回さない
- 「Have I Been Pwned」のような公開されている漏洩監視サービスを利用する
- 可能な限り多くのサービスで二要素認証を追加する
- 複雑なパスワードを使い続けるために、パスワードマネージャなどの使用を検討する
Sucuriは今後の展開として、多くのハイテク企業がバイオメトリクスやU2Fキーのような物理キーを使ってパスワードレスなログインを実現する方向を目指していると指摘。こうしたシステムを採用することで、パスワードのリスクを軽減するのみならず、フィッシング詐欺の被害を減らすことができると説明している。