オークションサイト等のサービスでは、アカウントを不正に利用されると金銭的な被害が発生する危険があります。このような被害に遭わないために、パスワードの作成や管理には、十分な注意が必要です。
(1)被害内容と原因 IPA に寄せられた相談の被害事例は、新聞でも何度か報道されています。それによると、オークションサイトのアカウントが盗まれて、不正に利用されたといった被害が多数確認されています。中には、本人が知らないあいだに大量の商品をオークションに出品されてしまい、その手数料をオークションサイトから請求されるといった金銭に関わる被害が起きています(図1-1参照)。 今回の被害の多くは、安易なパスワードを設定していたことが原因のひとつとして推測されます。相談事例の中にも、パスワードを「数字だけの組み合わせ」、「簡単な英単語」で設定していたというものがありました。このような安易なパスワードでは、辞書攻撃*2等により短時間にパスワードを解読されてしまい、アカウントの不正利用に繋がる危険性が高くなります。 (2)強いパスワードとは オークション等のサービスを提供するウェブサイトでは、パスワードを作成する際、「英字、数字、記号をランダムに組み合わせて、8文字以上にしましょう」という注意事項が記載されているケースがよくあります。これは強い(破られにくい)パスワードを作成するポイントとなります。 つまり、現在の最新パソコンの処理能力でもパスワードを解読するための計算が何千年もかかるのであれば、それは解読できないことと同一であると考えられます。したがって、一般的にはパスワードに使用する文字の種類を多くしたり、桁数を大きくしたりすれば、強い(破られにくい)パスワードであるということがいえます。 パスワード解析ツールを使用して解読時間を試算した結果によると、英字(大文字、小文字区別有)と数字を組み合わせて8桁のパスワードを作成した場合、解読には最大で約50年(すべての組み合わせを試算した場合)かかります。このように、3種類(62文字数)で8桁のパスワードを作成すれば、パスワードの強度は十分と言えるでしょう。強度の違いを確認して、破られにくいパスワードを作成するようにしてください。 (3)質問と回答 質問>自分が利用しているネットオークションサイトでは、自分のアカウント(ID)のログイン履歴を確認できる。それによれば、数ヶ月間、国内の特定の IP アドレスから継続して自分の ID に対してログインを試みていることが分かった(全てログイン失敗)。このままでは、パスワードを破られるのは時間の問題であり、オークションサイト側にアクセス制限などを依頼したが、全て断られた。被害を未然に防ぐためにサイト側へ何か要請をしようと思うが、どんな内容が効果的か教えてほしい。また、差し当たって個人でできる対策は何か。 個人でできる対策としては、強固なパスワードを設定するとともに、その保管に注意し、かつ定期的にパスワードを変更すること、となります。 8桁以上の長いパスワードであっても、推測しやすいもの(ID と同一、数字だけの組み合わせ、辞書に載っている単語の組み合わせなど)は避けるようにしましょう。
|
- >
- コンピュータとインターネット
- >
- インターネット
- >
- ネットサービス
現在の最新パソコンの処理能力でもパスワードを解読するための計算が何千年もかかるのであれば、それは解読できないことと同一ということですか。
2009/3/29(日) 午前 0:31 [ - ]
taksitさん、パスワード解析ツールを使用して解読時間を試算した結果によると、英字(大文字、小文字区別有)と数字を組み合わせて8桁のパスワードを作成した場合、解読には最大で約50年(すべての組み合わせを試算した場合)かかります。このように、3種類(62文字数)で8桁のパスワードを作成すれば、パスワードの強度は十分と言えるでしょう。強度の違いを確認して、破られにくいパスワードを作成するようにしてください。
2009/3/29(日) 午後 1:05