パスワード複雑化と追加認証機能

Webサイトにログインするためのパスワードはどのようなものを設定していますか？

多分、同じパスワードを使い回していたり、半角英数字8文字程度にしている方が多いのではないでしょうか。

攻撃の巧妙化やコンピューターの性能向上に伴い、数年前は良かったかものが今は良くない可能性が高いため、改めて見直してみましょう。

パスワードの桁数は適切ですか？

半角英数字8文字のパスワードがどれくらいの時間で破られるかというと・・

IPAが2008年に実施した調査では約50年となります。

但し、前提がWindows Vista Business 32bit版、Intel Core 2 Duo T7200 2.00GHz、3GBメモリであるため、かなり古めのパソコンで検証した結果となります。

コンピュータウイルス・不正アクセスの届出状況[2008年9月分および第3四半期]について
https://www.ipa.go.jp/security/txt/2008/10outline.html

株式会社ディアイデイが2012年に実施した調査では13.5時間で破ることができます。

株式会社ディアイデイセキュリティ調査レポートVol.3より引用

この調査の前提が、Windows7 64bit、Intel Core i7、8GBメモリで検証した結果となります。

最近は更に高性能なパソコンが主流のため、もっと少ない時間で破れる状況です。

今は、パスワードは10桁以上、半角英数字に加え記号も含んだうえ、後述する付属機能を付けておく方が良いです。

推測されやすいパスワードにしていませんか？

法人向けのウイルス対策ソフトを販売するソフォス株式会社が2010年に使用してはいけないパスワードトップ50を発表しました。

使用してはいけないパスワード、トップ 50
https://nakedsecurity.sophos.com/2010/12/15/the-top-50-passwords-you-should-never-use/

映画で話題となった「スマホを落としただけなのに」でハッカーが試していた名前と誕生日なども簡単に推測されるため避けるようにしましょう。

スマホを落としただけなのに（楽天ブックス）
https://books.rakuten.co.jp/rb/15801022/

脆弱なWebサイトのハッキングによりパスワードが流出し、他のWebサイトでログインを試みる攻撃があるため使い回しにも注意が必要です。

STOP！パスワード使い回し！
https://www.jpcert.or.jp/pr/stop-password.html

最近はロックや画像認証の機能も

どんなにパスワードの桁数を増やして複雑化しても、コンピューターの性能向上の早さは著しいため、破られるのは時間の問題となってしまいます。

Webサイトを運営していくうえでは、パスワードを何回か間違えるとログインロックする機能や、パスワードに加えて画像の文字を入力させて認証をさせる機能などがある方が良いでしょう。

但し、セキュリティはいたちごっこであり、これをやっておけば絶対に安心というものはないため、常に強化し続ける必要があります。

WordPressではプラグインで機能追加ができるため、インストールして強化していくのが良いでしょう。

別途、おすすめプラグインを紹介予定のため、暫しお待ちください。

まとめ

パスワードを設定する際は、10桁以上で半角英数字に加え記号を含めて、推測されやすい文字列は避けましょう。

脆弱なWebサイトはハッキングされる可能性があるため、パスワードの使い回しには注意が必要です。

ロック機能や画像認証の機能があるとより安全になりますが、絶対に安心というものはないことを理解しておきましょう。