電網通信あみあみ

これならできちゃう!

【 パスワード強化でメールをより安全に -- メール送受信 】

ネットニュースを見て不安になっているあみですが・・・。

ami
ニュースに「ハッカーによる不正アクセス急増、パスワードを破りメール悪用」ってあったんだけど、パスワードってそんなに簡単に破られちゃうものなの?
gen
簡単に破られちゃうパスワードがあるんだよ。
ami
そうなの?
gen
正確にいうと、「簡単に破られちゃうようなパスワードを設定している」かな。
例えば「abc123」とか「123456」とか誰でも簡単に思いつくような文字列をパスワードにしてしまうってことなんだ。
解析が容易な設定をしてしまうことが、簡単にメールアカウントを不正利用されてしまう状況を作ってしまっているんだ。
最近はパソコンの性能が上がってるので、単純なブルートフォースアタック(総当たり攻撃)で簡単に解析されてしまうんだよ。

不正利用のされ方

  • 盗用したアカウント情報を使い該当アカウントの正規の認証をなりすまし、正規のメールサーバから外部宛てに大量の迷惑メールを配送。
  • 盗用したアカウント情報を使い該当アカウントの正規の認証をなりすまし、アカウントのメールボックスに存在するメールの不正な受信。
  • 盗用したアカウント情報を使い、該当アカウントの正規の認証をなりすまし、リマインダ機能を持っている他サービス(SNSやブログ、ゲームアカウントなど)の会員情報の引き出しのための踏み台。
ブルートフォースアタック
ami
パスワードが破られると、やりたい放題ね…。
gen
利用できるものはとことん利用しようというのが、悪用する側の考え方なんだろうね。
ami
じゃあ、パスワードを簡単じゃないものにすればいいのにね。
gen
そうだね。
複雑な文字列のパスワードを利用すればいいだけだからね。

◇パスワードの管理を強固とする際によく用いられる管理手法◇

  • 8文字以上、英数字混在を最低限とし、記号なども混在するようにする。
  • アカウント名をパスワードそのものにしたり、アカウント名を含むパスワードを使用しない。
  • 電話番号、住所、郵便番号、誕生日などの、第三者が個人情報として得られる可能性がある情報をパスワードに混在しない。
  • 映画、TV番組、ゲームなどで用いられている登場人物、タイトルなどをベースとしたよく使われそうなパスワードを設定しない。
  • 世界的に有名な詩の一文などから引用したパスワードを設定しない。(聖書の一文の書き出しなど)
  • パスワードを 定期的に変更する。
ami
誕生日とか、覚えやすい数字使っちゃうことあるなー。
gen
個人情報に絡むものは、使わないほうがいいよ。
できればパスワードは月ごとに変更すればより安全になるんだけどね。
そういえば、7月にASJでも誤って安易なパスワードを設定できないように仕様変更されたね。
  • メールコントロールパネルの新規アカウント設定や、パスワードの変更が伴なう機能
    (メールのアカウント新規作成、パスワード変更、アカウントのインポート、セキュリティフィットのアカウントのパスワード変更)
    以下の全ての要件を満すパスワードのみ設定可能。
    • 8文字以上のパスワード
    • 英数字混在以上の強度を持つパスワード
    • 3文字以上のアカウント名の場合、アカウント名を含む文字列を含まないパスワード
ami
文字数が8文字以上なのはなんでなのかな?
gen
パソコンで使える文字での組合せで、8文字だと約6兆通りの組合せになるんだ。
ちなみに半分の4文字だと256万通り。
で、8文字程度であれば覚えやすい、丁度いい文字数なんだ。
もちろん10文字にすればより強固なパスワードになるけどね。
ami
そっかー。
あとで誕生日の数字が入ってるパスワードを変更しておこうっと!
※ASJサポートセンターより
すでに設定されている既存のメールアカウントにつきましては、パスワードの変更時より適用されますため、現在設定されているパスワードでの継続運用は可能となっております。
しかしながら、上記でご説明させていただきました通り、安易なパスワードの盗用が世界的に流行している状況でございますため、管理者様におかれましては、社員のアカウントなどに推測されやすいパスワードがないかをご調査・ご検証いただき、必要と判断される場合には、より強度の強いパスワードにご変更をされますことを強くお勧め致します。
パスワードの変更(メールコントロールパネルのマニュアル)
次回をお楽しみに!

このページのトップへ▲

あみあみの目次へ

.