Bleeping Computerは2023年このほど、「Four common password mistakes hackers love to exploit」において、サイバー攻撃に悪用されがちな4つのパスワードの間違いについて伝えた。人の思考はパターンを完成させようとする傾向があり、満足感のある覚えやすいパスワードを自然と利用してしまうことがよくないようだ。
Bleeping Computerは次に示すようなパスワードの組み合わせは攻撃者にとって推測可能であり、一見強力に見えても脆弱であると指摘している。
- ユーザーは自身に関連のある基本的な単語を使いたがる。「単語そのもの」は複雑さが不足しているとして拒絶されるため、この基本的な単語の前後に簡単な修正を加えることが多い。最も多いのは先頭の文字を大文字にして、最後に特殊文字を追加するパターン。基本となる単語としては「password」、「admin」、「welcome」がよく使われ、ほかにも誕生日、家族の名前、ペットの名前などがあり、これらは危険だという
- ユーザーはシステムが許容する最小の長さのパスワードを選択する。ブルートフォース攻撃は、より短いパスワードに対して効果的な攻撃であるため、長いパスワードを強制することが望まれる。Bleeping Computerは長く、覚えやすく、強いパスワードを構築する方法として、3つの覚えやすい単語を並べてその中に特殊文字をいくつか追加する方法を推奨している
- キーボードのレイアウトに基づいたパスワード。「P)o9I*u7Y^」は一見強力にみえるが、すべて隣り合ったボタンで構成されている。その中でも「qwerty」は最も多く利用されており特に危険
- パスワードの流用。たとえ強力なパスワードであったとしても、組織で使用しているパスワードをソーシャルネットワーキングサービス(SNS: Social networking service)などほかのシステムで使い回せば、流出した際に脆弱となる
Bleeping Computerはこれらに対処するため、パスワードの脆弱性を確認できるツールの導入を推奨している。そうしたツールに、漏えいしたパスワードを調べられる「Have I Been Pwned?」などがある(参考記事:パスワードが漏洩しているかどうかを調べる方法)。利用しているパスワードが上記の条件に当てはまっている場合は、速やかに変更することが望まれている。