• コミュニティ内すべて
    • コミュニティ内すべて
    • フォーラム
    • 提案
    • ブログ
高度

拍手5 Stats

パスワードはこうして盗まれる

ハッカーにとってパスワードとは、泥棒にとっての鍵のようなものです。鍵やパスワード自体にそれほど価値はありませんが、それらを使って手にする個人情報や財産には価値があります。パスワードはデジタルの「カギ」だと考えてください。パスワードがあれば、友達や同僚とのつながり、連絡先情報、写真、動画、電子メール、さらにはネットバンキングや支払い明細といった重要な情報など、あなたの生活すべてにアクセスできてしまいます。

弱いパスワードは簡単に推測されてしまう可能性があります。セキュリティ対策をおろそかにしていると、ハッカーに付け入る隙を与えかねません。しかし、安全なパスワードを作成し、セキュリティ対策を導入することで、攻撃者の侵入や盗難を防止することができます。

ハッカーはパスワードを盗むために、何も魔法や特別な方法を使っているわけではありません。辞書攻撃を仕掛ける、SNS から情報を探す、パスワードクラックツールを使う、といった手口で推測しているだけです。

辞書攻撃

辞書攻撃は、パスワードに使われることの多い一般的な単語をリスト化しておき、手当たり次第に試すプログラムを使用します。単語やフレーズを使ったパスワードは弱く、こうしたプログラムで推測されやすいのです。辞書攻撃からアカウントを保護するためには、パスワードに一般的な単語やフレーズを使用しないようにしてください。

辞書攻撃からパスワードを保護するには

  • 一般的な単語やフレーズを使用しないこと。
  • 同じパスワードを複数のウェブサイトで使い回さないこと。
  • パスワードをメモしたり、他人に教えたりしないこと。
  • 可能な限り、二要素認証を使用して、アカウントの保護を強化すること。ハッカーにパスワードが盗まれても、2 つ目の要素がなければアカウントにアクセスすることはできません。
  • 定期的に変更すること。3 カ月ごとに変更する等の習慣をつけましょう。複数のパスワードを管理するのが面倒なときは、ノートン ID セーフ (英語) をお使いください。

SNS から割り出されてしまうセキュリティ質問の回答や個人情報

SNS は情報の宝庫です。近況報告、共有した情報、「いいね!」を付けたコンテンツ、投稿したコメント。いずれも、私たちの生活のさまざまな情報を伝えるものです。考えてみてください。新しい仕事に就いた、引っ越しをした、ペットを飼い始めた・・・などの、自分にとって特別な出来事があったときは、誰かと共有したくなり、実際に共有してしまうものです。

新しく飼い始めたラブラドールレトリバーの子犬を友達に紹介する、学校名を表示する。これらは、特に何でもないことのように思えるかもしれませんが、もしハッカーがあなたを追跡していて、こうした情報を見つけたらどうするでしょう。もしかすると、あなたが個人的に公開した情報を使ってセキュリティの質問に答え、あなたのアカウントにアクセスできてしまうかもしれません。何気なく共有した情報が、ある日突然、牙をむくこともあるのです。

パスワードと SNS に関するヒント

  • パスワードを推測できるような個人情報を公開しないこと。
  • パスワードには、いかなる種類の個人情報も使用しないこと。
  • あなたをフォローしているスパマーからリンクが送られてきても、無視してブロックすること。
  • スパムアカウントを見つけたら必ず報告すること。SNS ではスパムアカウントを監視しています。多くのユーザーから同じアカウントについて報告があれば、削除してくれるはずです。
  • ノートン セーフウェブ for Facebook を使用すること。「いいね!」ジャック詐欺や悪意のあるリンクがないかニュースフィードをスキャンして、潜在的な脅威を警告してくれる無料アプリです。

パスワードクラッカー

パスワードクラッカーとは、パスワードを突きとめるまで、無数の文字の組み合わせを繰り返し試す総当たり攻撃によってパスワードを破るプログラムです。パスワードが短く単純であるほど、このプログラムで簡単に破られてしまいます。パスワードが長く複雑であれば、正しいパスワードを解読するのに時間がかかり、ハッカーが総当たり攻撃を使う可能性は低くなります。パスワードクラッカーからパスワードを保護するには、複雑なパスワードを使用してください。

複雑なパスワードを作成するには

  • 電話番号や住所、誕生日、自分の名前、家族やペットの名前を使用しないこと。
  • 大文字、小文字、数字、記号を組み合わせること。
  • 「123456」、「password」、「qwerty」などパスワードによく使われる文字列や数列、「apple」などの単語を使用しないこと。
  • 8 文字以上にすること。文字や記号の数が多いほど、推測されにくくなります。
  • 単語やフレーズを使用しないこと。どうしても使いたい場合は、スペルを変更するか、フレーズの省略形を使うこと。たとえば、「Eleven」という単語を使いたい場合は、「e13v3N」のように変更します。また、「I love to shop」というフレーズを使いたい場合は、「1luv2shop」のように変更してください。これに記号を加えると「#1Luv2shop!」のように、さらに複雑になります。
  • 可能な限り、二要素認証を使用して、アカウントの保護を強化すること。Facebook や Twitter、LinkedIn、Yahoo! Mail、Gmail、PayPal など、多くのウェブサイトでは、二要素認証によるログインを採用しています。
  • ヒント: 複雑なパスワードを作成するのが難しい場合は、Norton Identity Safe Password Generator (英語) を使用すると、複雑なパスワードを簡単に作成できます。

パスワードが盗まれたと感じたときは

パスワードが盗まれたと感じた場合は、すぐに行動を起こしましょう。

  • まずは、攻撃の種類を特定してください。たとえば、インターネットで流出したのか、それともクレジットカード情報が漏えいしたのか、など。
  • パスワードが盗まれたと思われるアカウントを監視してください。特に、ネットバンキングのアカウントは注意が必要です。
  • すべてのアカウントのパスワードを複雑なものに変更してください。特に、同じパスワードを複数のウェブサイトで使い回している場合は、必ず変更してください。
  • 可能な場合は、常に二要素認証を使用してください。

コメント

拍手0

Please add 2-Factor authentication (Symantec VIP) to log into Norton Identify Safe.     If a hacker ever was able to figure out my Norton Identify Safe password they would then have access to everything which could be solved by requiring a VIP code to be also entered log into Norton Identity Safe.  

拍手0

If you have a Local Vault you have your Windows user account password and your Vault password.
If you have an Online Vault you have your Norton Account creds and your Vault password
Do you want a third password....?

拍手0

Dictionary attack is very 1990's - it is more a "full on brute force" with Ascii and Unicode, all character attack.

Problem highlighted by Cambridge University Prof. Anderson; "...think up a password You'll never remember ...and don't write it down". 

Personally, I think access control technology is 3rd rate, 20th century thinking that needs to be innovated away from current behaviour, especially in our "content anywhere mobile world". If the unwary have contracted a key-logger, no strength in passwords will sort that out. ...now lets look at that list...

How to protect your user passwords from dictionary attacks

  • Avoid using common words or phrases in your passwords. (doesn't matter - strong passwords are no stronger than if you were to use 123456 - the 3 attempts at a pass on the third and then "lockout", is the norm) 
  • Never reuse the same password across different websites.(The human mind cannot work like that - so don't ask them to. Too many PINs and passes raise their own security issues and helpdesk swamp because people cannot remeber those they don't practice very often)
  • Never write down your passwords, or share them with anyone. (strong passwords cannot be remembered by humans - so even companies are now saying "write them down"....and on sharing them, you may have no choice if you are infected with a keylogger)
  • Use two-factor authentication(link is external) whenever possible to add an extra layer of protection to your accounts. If a hacker discovers your password they will still need the second factor to access your account.(I agree with this one...but we need innovation to come forward to make that 2nd factor a "hardware encryption - NOT a software one...and certainly not another password access control) 
  • Change your passwords regularly. Every three months if possible. TIP: If you need assistance remembering multiple passwords useNorton Identity Safe (Good policy to have change control...but I still think access controls need a rigorous 21st century re-think)