パスワードとは?/ レイク
[ 937] パスワード - Wikipedia
[引用サイト] http://ja.wikipedia.org/wiki/%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89
|
この項目ではセキュリティのためのパスワードについて記述しています。コンピュータゲームにおけるパスワードについてはパスワード (コンピュータゲーム)を、講談社青い鳥文庫から出ているパスワードシリーズについてはパソコン通信探偵団事件ノートをご覧ください。 パスワード(Password)とは、一般的に合い言葉を指すが、特にコンピュータ関連で使用する場合は、特定の機能を使用する際に認証を得るため入力する文字及び数字の羅列を指す。多くの場合、その利用者が本人であることを確認するもので、その利用者のみが知る文字列を用いる。 通常はユーザIDと対にして用いる。あらかじめ登録されているそのユーザIDのパスワードと、操作者によって入力されたパスワードが一致していることによって、操作者がそのユーザIDの使用者本人であると認識する。 文字列の長さが数十文字以上と長いパスワードのことを特にパスフレーズと呼ぶことがあり、高いセキュリティが必要なシステムで用いられる。 多くのシステムでは、パスワードに用いることのできる文字はアルファベット(ラテン文字)26文字か52文字(大文字・小文字が区別される場合)、アラビア数字10文字、「+-/!"#|_」などの記号に限定されているが、マルチバイト文字を用いることができるものもある。 パスワードやクレジットカードの番号を入手することで、他人になりすましてさまざまな利益が得られることから、パスワードを発見するということがしばしば行われてきた。理論上は総当りですべての文字列を試してみればいつかは正しいパスワードを発見可能なことは容易にわかるが、大変な労力が必要なので実際はあまり行われない。 また、複数回間違ったパスワードを入力すると、システムがそれ以降の入力を拒否するようになっている場合もある。(金融機関の現金自動預け払い機では、間違った暗証番号を3回入力すると以降はそのカードは有人窓口以外での取り扱いができなくなってしまう ドアの電子錠では回路がクラッキングと判断して自己破壊するものもある) パスワードは任意の文字列で構成されるが、完全にランダムということはほとんどなく、実際は覚えやすい文字列で構成される場合が多い。その性質を利用して、辞書に載っている単語や人名を入力することで、パスワードを発見する効率を高めるソフトウェアもある。(辞書攻撃の項を参照されたし) 銀行のキャッシュカードやクレジットカードに設定されている暗証番号については生年月日、自動車のナンバー・電話番号や「1111」「1234」のような覚えやすい番号(いわゆるキリ番)が設定されている場合が多いが、近年発生しているクレジットカードやキャッシュカード窃盗やスキミング等の事件に於いては、日本ではじつに57%の例で生年月日を入力されて現金を引き出されている[1]。このような事例では、これらの犯罪被害者に行われていた被害補償に於いて、預金者自身にも過失があるものとみなし、全く補償されないか、補償が半分以上も減ぜられることもある[2]。 キャッシュカードや携帯電話端末の暗証番号はわずか4桁だけしかない場合が多く、0000〜9999の、せいぜい10000回試せば暗証番号を発見できることから、番号を忘れてしまった場合に全部の番号を試すソフトウェアが存在する(総当たり攻撃の項を参照されたし)。 誰でも思いつくような覚えやすい文字列の文字列でパスワードを設定することは避けるようにすべきだというのが、セキュリティ専門筋の共通見解であるが、パスワードをランダムな文字列の羅列にし、かつ文字数を多くするあまり、中には自分自身でも覚えられないパスワードを設定する人も見られ、本末転倒な事態に陥るケースも見られる。他方では、その余りにも覚え難いパスワードをメモに記録して携帯または保管する向きもあるが[3]、ソーシャル・エンジニアリングによってパスワードを盗まれる事態も発生しているだけに、注意が必要である。 定期的にパスワードを変更する事で、たとえ盗難にあってもすぐに無効化できるため、任意のパスワードを設定できる所では、定期的なパスワード変更が推奨されている。近年では現金自動預け払い機においても、その場の機械操作だけで暗証番号が変更できるものが見られる。ただし、この場合変更前のパスワードを覚えていないと変更することができない。 |
[ 938] 強力なパスワード : その作り方と使い方
[引用サイト] http://www.microsoft.com/japan/athome/security/privacy/password.mspx
|
プライバシー強力なパスワード : その作り方と使い方公開日: 2006年5月8日 | 最終更新日: 2007年3月27日パスワードは、使用しているコンピュータやオンライン アカウントに保管した個人情報にアクセスするために使用する鍵です。犯罪者などの悪意のある者にこの情報が盗まれた場合、盗まれたユーザーの名前がクレジット カード口座の新規開設やローンの申し込みに使用されたり、オンライン取引で名前を騙られたりする可能性があります。 多くの場合、これらの攻撃に気づいたときには既に手遅れです。幸運なことに、強力なパスワードを作成して適切に保護する作業は難しくありません。強力なパスワードを作成する方法強力なパスワードは、攻撃者にとってランダムな文字列に見える必要があります。 次の条件を満たせば、パスワードを強力にすることができます。長くします。 パスワードに文字が 1 つ加われば、それだけパスワードの保護の力は何倍にも強化されます。 パスワードの長さは 8 文字以上が望ましく、理想は 14 文字以上です。多くのシステムでは、パスワードにスペース文字も使用できるため、多くの単語から構成されたフレーズ ("パス フレーズ") を作成できます。 パス フレーズは大体において、単なるパスワードよりも覚えやすく、しかも長いために推測することが困難です。 文字、数字、記号を組み合わせます。 パスワードに含める文字の種類を増やせば、それだけそのパスワードを推測することが困難になります。 その他の重要な点として、次のことが挙げられます。•パスワードに含める文字の種類が少ない場合は、パスワードを長くする必要があります。 ランダムな文字と数字だけで構成された 15 文字のパスワードは、キーボードから入力できるあらゆる文字から構成された 8 文字のパスワードよりも約 33,000 倍強力です。 記号を含むパスワードを作成できない場合、同程度の保護を実現するためには、パスワードをかなり長くする必要があります。 理想的なパスワードは、長さとさまざまな種類の記号という両方の要素が組み合わさったものです。•キーボードから入力できるあらゆる文字を使用し、一般的によく使われる文字だけに限定しないようにします。 Shift キーを押しながら数字キーを押して入力する記号類は、パスワードでよく利用されます。 句読点のようなキーボードの上段にない記号や、ユーザーの母国語に特有の記号など、キーボードから入力できるすべての記号から文字を選択すると、パスワードはより強力になります。自分では覚えやすく他人が推測するのは難しい単語やフレーズを使用します。 パスワードやパス フレーズを覚えるには、書き留めるのが一番簡単な方法です。 世間一般で考えられているのとは逆に、パスワードを書き留める行為は別に間違ったことではありません。ただし、安全性と効果を維持するためには適切に保護する必要があります。 通常、紙片に書き留められたパスワードの方が、Web サイトやパスワード管理ソフトウェアなどのソフトウェア ベースの保管ツールを使用した場合に比べ、インターネット上で危険にさらされる可能性が低くなります。 考えられる置き換えの方法はいろいろあり、文章を長くすればするほどパスワードを複雑にすることができます。 たとえば、パス フレーズを "My SoN Ayd3N is 3 yeeRs old" のようにします。 コンピュータやオンライン システムでパス フレーズがサポートされていない場合は、短いパスワードに対して同じ方法を使用します。 この場合、"MsAy3yo" というパスワードを作成できます。5.最後に、特殊文字で置き換えます。 パスワードをさらに複雑にするには、文字に見える記号を使用したり、単語を連結したり (スペースを除去する) するなどの方法を使用できます。 このような手法を使用することで、"MySoN 8N i$ 3 yeeR$ old" というパス フレーズや、"M$8ni3y0" というパスワード (各単語の最初の文字を使用) を作成できます。6.新しいパスワードをパスワード チェッカーでテストします。 パスワード チェッカーは、ユーザーが入力したパスワードの強度を判定できる、この Web サイトに用意された機能です。入力したパスワードは記録されません。使ってはいけないパスワード作成方法パスワードを作成する際に一般的に使用される方法の中には、犯罪者によって推測されやすいものがあります。 推測の容易な弱いパスワードを作成しないようにするには、次の点に注意します。•連続した文字を使用したり、同じ文字を繰り返し使用したりしないようにします。 "12345678"、"222222"、"abcdefg"、またはキーボード上の隣り合った文字の組み合わせでは、安全なパスワードになりません。•見た目の似た数字や記号を置き換えるだけにするのはやめます。 "M1cr0$0ft" や "P@ssw0rd" のように、i を 1、a を @ といった見た目の似た文字を置き換えるのはよく使われる方法ですが、これではパスワードを解読できるだけの知識を持った犯罪者や悪意のあるユーザーを欺くことはできません。 ただし、その他の方法 (長さ、スペルミス、大文字と小文字の混在など) と組み合わせてパスワードの強度を上げれば、このような置き換えも効果的になります。•ログイン名を使用するのはやめます。 自分や親しい人の名前、誕生日、社会保障番号などの情報の一部を使用するのは、パスワードの作成方法として不適切です。 このようなパスワードは、犯罪者が最初に試みる対象です。•どのような言語でも辞書に掲載された単語を使用するのはやめます。 犯罪者は、さまざまな辞書に掲載された単語に基づくパスワード (逆の綴り、ありがちなスペルミス、置き換えなどを含む) をすばやく推測できる、高度なツールを使用しています。 子供の前で口にしてはいけないような、卑猥な類の単語もすべて含まれています。•別の場所で同じパスワードを使用するのはやめます。 同じパスワードを使用しているコンピュータやオンライン システムがあると、そのいずれかが危険にさらされた場合、同じパスワードで保護されているその他の情報もすべて危険にさらされるおそれがあります。 異なるシステムでは異なるパスワードを使用することが不可欠です。•オンライン ストレージは使用しないようにします。 オンラインまたはネットワーク コンピュータに保管されているパスワードが悪意のあるユーザーに見つかってしまった場合、情報のすべてにアクセスされてしまいます。"空のパスワード" オプションアカウントで "1234" などの弱いパスワードを使用することに比べれば、空のパスワードを使用する (まったくパスワードを使用しない) 方が安全です。 犯罪者は単純なパスワードは簡単に推測できます。しかし、Windows XP を実行しているコンピュータでは、パスワードが設定されていないアカウントにネットワークまたはインターネットからリモートでアクセスすることはできません (このオプションは、Microsoft Windows 2000、Windows Me、またはそれ以前のバージョンでは利用できません)。次の条件を満たす場合は、コンピュータ アカウントで空のパスワードの使用を選択できます。•所有するコンピュータが 1 台だけである、または、複数台所有しているがどのコンピュータからも他のコンピュータ上の情報にアクセスする必要はない•コンピュータは物理的に安全である (コンピュータに物理的に接触できる人間全員を信頼している)空のパスワードを使用する方法が常に最適であるとは限りません。 たとえば、ユーザーが持ち歩くラップトップ コンピュータは、物理的に安全であるとは言えないため、強力なパスワードが必要です。パスワードのアクセスおよび変更方法オンライン アカウント Web サイトには、アカウントへのアクセス方法とパスワードの変更方法を管理するさまざまなポリシーがあります。 サイトのホームページで "アカウント" などのリンクを探して、パスワードとアカウントを管理できる特別な領域にアクセスしてください。コンピュータのパスワード 通常は、オペレーティング システムのヘルプ ファイルを見れば、パスワードで保護されたユーザー アカウントの作成、変更、およびアクセス方法、ならびにコンピュータの起動時にパスワード保護を必須にする方法を参照できます。 オペレーティング システム ソフトウェアのメーカーの Web サイトでも、オンラインでこれらの情報を検索できます。 たとえば、Microsoft Windows XP を使用している場合は、オンライン ヘルプ (英語) でパスワードの管理方法 (英語) やパスワードの変更方法 (英語) などを知ることができます。パスワードを秘密にするパスワードとパス フレーズは、それらで保護している情報と同じくらい大切に扱ってください。•他人に漏らさないでください。 パスワードやパス フレーズは、友人にも家族 (特に子供) にも教えないでください。これらの人たちが信頼できない他人に教えてしまう可能性があります。 唯一の例外は、他人と共有する必要のあるパスワードのみです。たとえば、オンライン バンキング用アカウントのパスワードは、配偶者と共有する場合があります。•記録したパスワードはどれも保護してください。 パスワードを記録するか書き留めた場合は、保管場所に注意します。 保護対象となっている情報を放置しないような場所には、パスワードの記録も放置しないようにしてください。•メールでパスワードをやり取りしたり、メールの要求に基づいてパスワードを送ったりしないでください。 パスワードを要求するメールや、パスワードを確認する目的で Web サイトにアクセスすることを要求するメールは、ほとんどの場合詐欺と言って間違いありません。 そのメールが信頼できる企業または個人から送られてきた場合も同様です。 伝送中にメールが傍受される可能性があるばかりでなく、情報を要求するそのメールが、メールに記載されている送信者から送られてきたものではない可能性もあります。 インターネットの "フィッシング" 詐欺では、ユーザー名とパスワードを明らかにさせたり、身元情報を盗み出したりするなどの目的のために偽のメール メッセージが使用されます。 フィッシング詐欺の詳細については、こちらを参照してください。また、オンライン詐欺に対応する方法については、こちらを参照してください。•パスワードは定期的に変更してください。 こうしておけば、犯罪者や悪意のあるユーザーに認識されにくくすることができます。 パスワードを強化すれば、さらに長期間安全性を保つことができます。 8 文字よりも短いパスワードの場合、1 週間程度しか安全ではありませんが、14 文字以上のパスワードであれば (かつ上述のルールに従っていれば)、数年間は安全であると言えます。•自分の管理下にないコンピュータでパスワードを入力しないようにしてください。 インターネット カフェ、コンピュータ ラボ、共有システム、公共システム、会議室、空港ラウンジなどにあるコンピュータは、匿名のインターネット ブラウズ以外の個人的な用途に使用するのは安全ではないと考えてください。 このようなコンピュータを使用して、Web メール、チャット ルーム、銀行残高、業務上のメールなど、ユーザー名とパスワードが必要なアカウントを確認するのはやめてください。 キー入力の記録装置を犯罪者が購入している可能性があります。このような装置は低価格で購入でき、取り付けに時間はかかりません。 このような装置を使用した場合、悪意のあるユーザーは特定のコンピュータで入力された情報をすべてインターネット経由で入手できるようになります。パスワードやパス フレーズは、それらが保護している情報と同じくらい価値のあるものです。パスワードを盗まれた場合の対処方法毎月の預金残高、クレジット カード明細、オンライン ショッピングのアカウントなど、パスワードで保護された情報はすべて監視するようにします。 強力で覚えやすいパスワードは、ユーザーを詐欺や身元情報の盗難から守るのに役立ちますが、絶対保証されるわけではありません。 パスワードがいくら強力でも、パスワードを保管しているシステムに侵入されてしまえば、パスワードを盗まれてしまいます。 自分の情報に第三者がアクセスしたことを示す不審な痕跡に気づいたら、できるだけ早く所定の機関に知らせるようにしてください。 身元情報を盗まれた、または騙し取られたと考えられる場合の対処方法の詳細については、こちらを参照してください。ページのトップへ関連リンク•オンラインで個人情報を保護するために•Internet の使い方 - セキュリティとプライバシー プロファイル (個人情報) の管理 |セキュリティ情報を無料のニュースレターで入手する© 2008 Microsoft Corporation. All rights reserved. お問い合せ先 |使用条件 |商標 |プライバシー |日本での個人情報の取り扱い |
