なりすましをされないためには、パスワードを秘密にすることが基本ですが、不正者はパスワードを探すために、多様な手段を講じています。そのため、「よいパスワード」にすることが必要です。
- 不適切な例
- ・氏名、生年月日、電話番号など、他者が知ることが容易な個人情報
・辞書にある単語-不正者はパスワード発見辞書を持っている
・短い文字列-総当りで発見できる
短い文字列ではブルートフォース攻撃に無力です。Brute Forceとは「力ずくで、強引に」という意味で、自動的に総当たりに文字列を発生させて侵入を試みる攻撃です。その中で、辞書にある単語を用いる攻撃を辞書攻撃といいます。辞書攻撃に特化した辞書や自動化のツールもあります。
- よいパスワード
- ・表面的には無意味な文字列
・適当な長さ(8文字以上)
・数字、英字、特殊記号を混在させる
企業などでは、このようなパスワードの規則を設けて(パスワードポリシーといいます)、それに合致しないパスワードは受け付けないようにするのが適切です。
- 複数パスワード
- パスワードを頻繁に変更することが重要ですが、それとともに、複数のパスワードを使うことが大切です。Web閲覧などに求められる大して重要ではないパスワードとオンラインバンキングなどに用いるパスワードとは、異なるパスワードにするべきです。
攻撃者は自動的に多数のサイトにアクセスするツールをもっています。攻撃者が何らかの手段でユーザIDとパスワードを入手すると、そのユーザIDとパスワードにより銀行などのサイトをしらみつぶしにアクセスを試み、成功したら攻撃を開始します(パスワードリスト攻撃)。
また、A→B→C→A→B→…というように古いパスワードを繰り返して使うのも危険です。攻撃者は,Aのパスワードを用いて定期的にパスワードリスト攻撃を仕掛けるかもしれません。