見出し画像

単純な言葉の組み合わせでパスワードを作っちゃいけない理由知ってます?

これって意外に知られてないと思うんですよね。

たまにサイトでアカウントを作る時に「パスワードは英数字+記号の組み合わせで入力してください」って言われません?そのたびに「ああ、めんどくせえ」ってなると思うんですけど、これ実はめちゃくちゃ大事だったりします。

なんでこんなめんどくさいパスワードにしなきゃならないのか?

それはプログラムがサイトを攻撃する時、辞書攻撃というやり方で攻撃してるからです。

複数の単語を組み合わせて何度もログインを試みて、ログインを突破します。だから、単純な単語の組み合わせのパスワードはハッカーの良いカモになる。

たとえば「hihara1986」というパスワードを、hiharaという名前のアカウントが使ってたとします。これは「アカウント名+年号」なのでアカウント名さえ知れてしまえば、進入できちゃう。

アカウント名が公開情報のサービスは結構あるので、アカウント名を収集した後に、年号との組み合わせで何度もログイン攻撃すればOKです。

WordPressでもこれは同じで、アカウント名と単純な数字の組み合わせをパスワードにしてるパターンを良く見ます。

WordPressでは著者情報のURLにアカウント名を使ってるパターンが多いです。だから、アカウント名はいとも簡単に取得できてしまいます。あとはそのアカウント名と数字の組み合わせで攻撃すれば...。

秒速でログインできちゃうんです。そしてそのアカウントが管理者アカウントだったら...。記事も消し放題、ユーザーも削除し放題です。
怖いですね〜。だから「プログラムが攻撃しづらい複雑なパスワードにしよう!」ってことなんです。

プログラムが攻撃しづらいパスワードとは?

それは法則性のない文字列の羅列です。
「@!BUrC.Yx2」みたいなやつ。(パスワードジェネレータで作りました)
これは辞書攻撃がしづらいのはわかりますね?なんでかというと辞書にこんな単語載ってないですから(笑

これを紐解いていくと、「大文字小文字×英数字+記号」の組み合わせで成り立っています。別に「qycczwoanp」みたいなランダムな英字だけでも良いんですが、英字だけだと突破される確率が高くなっちゃうので、数字やら大文字小文字、記号なんかを組み合わせています。

ただこういうパスワードには問題があります。それは「覚えにくい」こと。一つや二つのサイトのパスワードを管理するなら良いですが、100サイトだと非現実的です。

快適なパスワード管理ツール1Password

なので、最近はこういうパスワードを管理するためのパスワード管理ツールというのが流行っています。個人的なオススメは1Passwordというツール。

こんなやつです。1Passwordは基本無料(複数デバイスで同期させる場合は有料)で使えて、パスワードの入力も劇的に速くなるのでぜひ使ってみてください。

それでは単純なパスワードの使用は気をつけてくださいー。

よかったらサポートお願いします。 いただいたお金は日々の、おいしい水を買うお金に使わせてもらいます。