実名を公表するつもりはないが、先日、ワードプレスの数名のブロガーが、「不法侵入」されてしまったという噂を耳にした。ワードプレスのコードの脆弱性が原因ではなく、簡単に見破られ、利用されてしまうパスワードを使っていたことが原因であった。
まさか、あなたのブログも?
数年前、テレビの法廷ドラマで拳銃用の金庫を生産する企業に対する訴訟が取り上げられていた。確かこの金庫を子供が簡単に開けてしまったため、原告が勝利したというストーリーだった気がする。暗証番号が123456や654321のような電話番号で非常に単純な数字の組み合わせであったため開いてしまったのだ。不法侵入されたブロガーの中には、パスワードを自分の名前のスペルを逆さにしていたブロガーがいた。また、「wordpress」というパスワードを設定していたブロガーもいた。あなたのブログも同じように単純なものだろうか?
一般的なパスワードを以下に挙げていく。
• ミドルネーム
• 名前のスペルを逆さまにする
• 電話番号
• 「password」という単語
• 誕生日
• love、god、sexやmoney等の単語をそのまま、あるいはlovemoneyやsexgodのように組み合わせる。
• qwerty
• abc123
• password1
• asdf
• 車のナンバープレート
• letmein
• 名前1
• default
ウィキペディアのパスワード解析に掲載されている説明では、「約40年もの間にリサーチを何度も行わい、その結果、ユーザーが選ぶパスワードのうち、40%のパスワードにおいてはプログラムを使えば簡単に見破ることができてしまうことが判明した」とのことだ。
セキュリティの脆弱性に関する仮説やパッチ、ウイルスのスキャンプログラム、ファイヤーウォール、パスワードとユーザーネームの保護をすべて活用しても、ユーザーネームとパスワードの選択そして公開に関しては、人間はいまだに間が抜けていると言わざるを得ない。Wired(ワイアード)の報告によると、MySpace(マイスペース)がユーザーネームとパスワードを取得するフィッシングの恐怖に晒されているようだ。そして「マイスペースは10万人以上のユーザーが閉鎖される前にフィッシングに引っかかる。」という結果が出ているらしい。
さらにワイアードは「パスワードの65%が8文字以内で、17%は6文字以内で設定されている。そして平均は8文字である」と報告している。昔のソフトウェアが対応できる最長の文字数が8文字であったこともあり、8文字制限が身に染み付いてしまっているのだろう。これはもう過去の話になっているが、8文字が最長という習慣になってしまったのだ。あなたのパスワードは8文字以内だろうか?
マイスペース崩壊に関するこの情報を得た、InfoWorld(インフォワールド)のロジャー・グライムズは次のように報告している。
*ユーザーのほぼ1%がpaswordをパスワードとして、あるいは一部として使っている。あまり賢い判断だとは言えないね。
*単語、色、名前、スポーツ、趣味、バンド名はとても人気のあるパスワードだ。ちなみに、彼女、彼氏の名前をパスワードとして使っている人も結構いる。私もその一人。 luv Brandi、BobあるいはJoe。
*「red」をパスワードに使っているは「blue」よりも2倍多いようだ。確率に関して言えば、この2色に匹敵する色は存在しない。「chartreuse:シャルトルーズ(明るい黄緑)」は比較的安全なパスワードではないだろうか。
*その他の人気のあるパスワードに、angel、baby、boy、girl、big、monkey、me、 theなどがある。
*悪口もパスワードに頻繁に利用されている。結構皆さん攻撃的なんだね。
*キリスト教に関するパスワードの多さには驚いた。例えば、「Ilovejesus」、ちなみにとんでもなく汚い悪口のログオン名と組み合わされていた。
*スポーツの名前 — golf、football、soccer等 — そしてプロのチーム、大学のチームのニックネーム等もパスワードによく使われている。
文字と数字を組み合わせて作るパスワードは強力だ。さらに!@#$%*()のような文字を加えれば心強い。複雑で簡単には見破られないパスワードを作成するのに役立つ無料のオンラインプログラムが提供されている。しかし、残念ながら、そういったパスワードを記憶するのはさらに大変だ。
このようなパスワードをすべてのパスワード、例えばブログ、メール、ウェブのホスト、ソーシャルネットワーキングサービス、ソーシャルブックマーキングサービス、ブログの登録、ソフトウェアの登録、フォーラム、チャット、ディスカッショングループにおいて記憶するのは…少なくとも私にとっては容易なことではない。私はクリップボード12ページ分に、長年に渡り、各種のオンラインサービスにアクセスするために使っているパスワードを残している!いったいどうすればこれらすべてを覚えることができるのだろうか?
無理に決まっている。確かに最近は私達に代わって「記憶してくれる」ソフトウェアやブラウザーのプログラムが存在する。しかし旅に出かけて、自宅やオフィス以外でコンピューターを借りた場合、これらのパスワードプログラムは何の役にも立たない。やはり、よく利用するパスワードを複雑かつ簡単に覚えられるような方法が必要になってくる。
好きな楽曲の歌詞や詩、あるいは単一の散文の頭文字を並べる手法は人気が高い。例えば、ライオン・キングの「Oh, I just can’t wait to be king」という一文は次のように短縮することができる。
• OIJCWTBK
• OiJcWtBk
• OeyeJcW82bK
• Oheyejustc8ntw82bking
• kbtwcjio
• 01j(W2bk
• hiuaaoei (各単語の2番目の文字を利用)
• 01j(\/\/7B|ハッカー語)
アクセスする情報すべてに同じパスワードを利用しないことも、防衛策として評価できる。パスワードの中にプログラムやサービスの名称を使い、パスワードの前や後ろに加えたり、最初あるいは最後の3文字か4文字を前に出し、あるいは後ろに移して、挿入することを薦めている人もいる。
上記の方法をWordPress(WP)ブログで試してみよう。
• OIJCWPWTBK
• WPOIJCWTBK
• OIJCWTBKWP
• OIJCWWordPressTBK
• OIJCWTBKWordPress
WordPress、WPを、ebay、myspace、flickrあるいはどれがどれかを覚えられるようなタイトルであれば、どんなものに変えてもOKだ。
数年前、私はセキュリティの専門家から辞書に載っている言葉をそのまま、あるいは部分的にパスワードに使っているなら、ハッキングされる可能性があると教えてもらった。パスワードを保護する2つの鍵は、他人が理解できないような難解なパスワードを作ること、そして誰にも教えないことだ。どれほどパスワードの尋ね方が「本物っぽく」思えても、絶対に教えてはいけない。ヤフーの安全なパスワードの設定に関するヒントでは、パスワードは歯ブラシと同じで、いいものを選び、誰にも使わせないことが大切だと綴られている。
しっかりしていて、且つ相当安全なパスワードを作るのに役立つヒントが掲載されている記事を紹介しよう。
• 強固なパスワード:その作り方と使い方
• ヤフー・セキュリティー - パスワードの選び方
• Schneier on Security(シュナイアー・オン・セキュリティー) - 安全なパスワードを選ぼう
• Lockdown(ロックダウン) - パスワード・ガイド
• Bergen County Technology Center(ベルゲン・カウンティ・テクノロジー・センター) - パスワードそしてパスワードセキュリティーの指針
• Neomeme(ネオミーム) - パーフェクトなパスワードの作成
• LifeHacker(ライフハッカー) - パーフェクトなパスワードから安全なパスワードを取得
• Redmond Mag(レッドモンド・マグ) - パーフェクトなパスワードを目指す9つの指針
• Geek to Live(ギーク・トゥ・リブ): 最高のパスワードを選ぼう(そして覚えよう)
_______________________________________________________________
ローレル・ファンフォッセンはブログとWordPress(ワードプレス)をテーマとしてLorelle on WordPress(ローレル・オン・ワードプレス)でブログを書いている。
[原文へ]
トラックバックURL:
http://jp.blogherald.com/2007/05/11/protect-your-blog-with-a-solid-password/trackback/
コメントはありません