パスワード設定・管理・システム対策のポイント最新版(JPCERT/CC)
JPCERT/CCは、「適切なパスワードの設定・管理方法について」を発表した。
調査・レポート・白書・ガイドライン
調査・ホワイトペーパー
これによると、ひとつのパスワードを複数のアカウントに対して試みる「パスワードスプレー攻撃」などが頻繁に行われているという。日本においても、リスト型攻撃やパスワードを狙うフィッシングメールなどの報告が多いことから、利用するパスワードの設定方法やログイン履歴などを確認し、IDやパスワードの適切な管理を心がけるよう呼びかけている。
具体的な方法として、次のポイントを挙げている。
推奨されるパスワード設定方法
・多要素認証が有効な場合は使用する
・異なるシステムに対しては異なるパスワードを使用する
・電話番号や誕生日など、個人情報を基にした文字列は使用しない
・可能な限り長い文字列を使用する
・特定の言語の辞書に載っているような単語を使用しない
推奨されるパスワード管理方法
・パスワードを他人に教えない
・パスワードを他人の目につく場所に残さない
・パスワードを入力する対象が本来意図したもの(サイトなど)であることを確認する(サーバ証明書など)
・パスワードを入力する際には、周囲から覗き込まれていないことを確認する
・ネットワークを介してパスワードを送信する際には、通信経路が暗号化されていることを確認する
・パスワードを聞き出すようなフィッシングメールや電話に注意する
システム側での対策方法
・多要素認証の仕組みを導入する
・ユーザがパスワードを忘れてしまった場合のリカバリ方法について、適切に設定を行う
・アカウントロックの仕組みを導入し、適切に設定を行う
・ユーザのパスワードは、ソルトやハッシュ、ストレッチングを利用し、適切に保管する
