[Exp2021]パスワードセキュリティ
パスワードが盗まれた!
クラッカーの被害に遭遇し, ネットワークが何日も使えなくなってしまう事件は私たちの周辺でも結構頻発しています. 私たちにも馴染み深い本学の部局, 某著名大学の関連学科など枚挙に暇がありません.
実はこれらの被害はほとんど全て, その機関の『たった一人のユーザーのパスワードが盗まれてしまったこと』が原因 なのです. そのために被る損失はとても大きく, 例えば, あるネットワーク管理者は復旧作業のために泣く泣く研究会に行く航空便をキャンセル (有料) しました. 私たちの業界では金銭的価値のあるデータは少ないかもしれませんが, 下手をすれば長い間苦労して集めた卒業 (修士, 学位) 論文のデータが失われて留年を余儀なくされたり, 申請書類が〆切に間に合わなくなり, 来年の研究費をあきらめなくてはならないと言うことも起こりうるのです.
パスワードは決して他人に教えてはいけないし, すぐにばれてしまうような安易なものもつけてはいけません. またときどき変えることも重要です. パスワードの管理は単に自分のアカウントの保護だけではなく, 他のユーザーやネットワーク管理者に迷惑をかけないためにも必要なのです.
こんなパスワードが盗まれる!
例えば以下のような人物がいるとします.
氏名: 早志 章介 ログイン名: hoge 住所: 神戸市灘区六甲台 1-1 電話: 078-803-64**
このような場合に, 以下のようなパスワードは 絶対につけてはいけません.
- ログイン名, 本名, 関係者の名前
- hayashi, hoge, syousuke
- 電話番号や生年月日, 住所, 車種など個人情報から推測出来るもの
- 07880364, rokkodai
- 上記から簡単に作れるもの (繰り返しや逆綴り)
- Hayashi, SHayashi, ishayah, hayasyo
- 上記に数字や記号を追加しただけのもの
- Hayashi078, hayashi3
- 上記の一部を「sを$に」「oを0に」「iを1に」「lを1に」などの単純な規則で変えたもの
- Haya$h1
この他にも, 以下のものはダメです.
- 人名, 固有名詞, コマンド
- tanaka, kobe, passwd
- 辞書に載っている単語 (英和問わず), それらの羅列
- どんなにマニアックな単語もダメです
- 全部数字, 全部同じ文字
- 11261315, aaaaaaaa
- 8 文字未満
- a4#
これらはすぐバレます. 厄介なことに, 上記の情報を手がかりに自動的にパスワードを盗むソフトが出回っています. 上記のようなパスワードを使用していたために被害にあった例が実際に頻発しているのです. くれぐれも注意して下さい.
パスワードの付け方
パスワードの付け方のルールは次の通りです.
- 大文字, 小文字, 数字, 記号を少なくとも 8 文字以上並べる.
実際はさらに, 他人に類推されることのない (複雑で), しかしメモはしなくても自分は忘れないパスワード をつけることが重要です. 以下はその一例です.
気に入った文章や詩などの頭文字を並べてみる.
Boys be ambitious ! -- W. S. Clark. → Bba!wsc AkinoTano KariHonoIono TomawoArami WagaKoromodeha TuyuniNuretutu (秋の田の かりほの庵の 苫をあらみ 我が衣手は 露にぬれつつ) →atkhitawktn
パスワードには出来る限り「大文字と小文字」「記号」「数字」を混在させる.
tkiswktawa → tk1swkt121 Bba!wsc → B6a!*wsc
同じパスワードをつけてはいけない!
1 人で複数のパスワードを保有する場合は珍しくありません. 例えば, ITPASS 実習では 4 つパスワードを設定します.
このような, 複数のパスワードは, 必ずそれぞれ異なるように設定しなくてはいけません. これは, 不幸にも何かの拍子にパスワードの 1 つが盗まれた際, 被害の拡散を食い止めるためです.
初期パスワードは必ず変更
アカウントを貰った時, システムによっては管理者から最初に利用する際のパスワードを指定されることがあります (「最初はこのパスワードを使ってね」てな具合). こうしたパスワードを初期パスワードと呼んでいますが, これは最初のログインをしたら必ず変更しなければなりません. 初期パスワードは他人の目に触れやすいからです.
パスワードにまつわるマナー
- 人が入力しているところは見ない.
- アカウントの貸し借りはしない.
- パスワードは決して他人に教えない.
- できるだけ頭にしまっておく.
- メモするなら無くさない見せない捨てない.
- 他のアカウントのパスワードと同じものにしない.
- 初期パスワードは最初のログイン時にかならず変える.
- ときどき変更する.
参考資料
このページは以下の資料を基に作成しました.
Keyword(s):
References:[[Exp2021]アカウント名・パスワードの確認] [[Exp2021]ITPASSサーバのアカウント作成]