単純な言葉の組み合わせでパスワードを作っちゃいけない理由知ってます?
これって意外に知られてないと思うんですよね。
たまにサイトでアカウントを作る時に「パスワードは英数字+記号の組み合わせで入力してください」って言われません?そのたびに「ああ、めんどくせえ」ってなると思うんですけど、これ実はめちゃくちゃ大事だったりします。
なんでこんなめんどくさいパスワードにしなきゃならないのか?
それはプログラムがサイトを攻撃する時、辞書攻撃というやり方で攻撃してるからです。
複数の単語を組み合わせて何度もログインを試みて、ログインを突破します。だから、単純な単語の組み合わせのパスワードはハッカーの良いカモになる。
たとえば「hihara1986」というパスワードを、hiharaという名前のアカウントが使ってたとします。これは「アカウント名+年号」なのでアカウント名さえ知れてしまえば、進入できちゃう。
アカウント名が公開情報のサービスは結構あるので、アカウント名を収集した後に、年号との組み合わせで何度もログイン攻撃すればOKです。
WordPressでもこれは同じで、アカウント名と単純な数字の組み合わせをパスワードにしてるパターンを良く見ます。
WordPressでは著者情報のURLにアカウント名を使ってるパターンが多いです。だから、アカウント名はいとも簡単に取得できてしまいます。あとはそのアカウント名と数字の組み合わせで攻撃すれば...。
秒速でログインできちゃうんです。そしてそのアカウントが管理者アカウントだったら...。記事も消し放題、ユーザーも削除し放題です。
怖いですね〜。だから「プログラムが攻撃しづらい複雑なパスワードにしよう!」ってことなんです。
プログラムが攻撃しづらいパスワードとは?
それは法則性のない文字列の羅列です。
「@!BUrC.Yx2」みたいなやつ。(パスワードジェネレータで作りました)
これは辞書攻撃がしづらいのはわかりますね?なんでかというと辞書にこんな単語載ってないですから(笑
これを紐解いていくと、「大文字小文字×英数字+記号」の組み合わせで成り立っています。別に「qycczwoanp」みたいなランダムな英字だけでも良いんですが、英字だけだと突破される確率が高くなっちゃうので、数字やら大文字小文字、記号なんかを組み合わせています。
ただこういうパスワードには問題があります。それは「覚えにくい」こと。一つや二つのサイトのパスワードを管理するなら良いですが、100サイトだと非現実的です。
快適なパスワード管理ツール1Password
なので、最近はこういうパスワードを管理するためのパスワード管理ツールというのが流行っています。個人的なオススメは1Passwordというツール。
こんなやつです。1Passwordは基本無料(複数デバイスで同期させる場合は有料)で使えて、パスワードの入力も劇的に速くなるのでぜひ使ってみてください。
それでは単純なパスワードの使用は気をつけてくださいー。
よかったらサポートお願いします。 いただいたお金は日々の、おいしい水を買うお金に使わせてもらいます。