オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >
RSS
新倉茂彦の情報セキュリティAtoZ

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

毎年発表されるワーストパスワードよりも、利用者側に問題がある事例

»

毎年、今年のワーストパスワード!みたいのが発表されてます。新しく出現してきたものもありますが、大きくはそんなに変わってないように感じます。これは使っちゃダメ!ってパスワードの話にも飽きてしまったので、常々気になっていた利用者側の最悪な事例について書いてみます。

「最悪なパスワード」2018年版ランキング発表 トップ2は6年連続で「123456」「password」「donald」も人気

「最悪なパスワード トップ25」(カッコ内は前年からの変動と、前年の順位)
  • 1位: 123456(→ 1位)
  • 2位: password(→ 2位)
  • 3位: 123456789(↑ 6位)
  • 4位: 12345678(↓ 3位)
  • 5位: 12345(→ 5位)
  • 6位: 111111(New)
  • 7位: 1234567(↑ 8位)
  • 8位: sunshine(New)
  • 9位: qwerty(↓ 4位)
  • 10位: iloveyou(→ 10位)
  • 11位: princess(New)
  • 12位: admin(↓ 11位)
  • 13位: welcome(↓ 12位)
  • 14位: 666666(New)
  • 15位: abc123(→ 15位)
  • 16位: football(↓ 9位)
  • 17位: 123123(→ 17位)
  • 18位: monkey(↓ 13位)
  • 19位: 654321(New)
  • 20位: !@#$%^&*(New)
  • 21位: charlie(New)
  • 22位: aa123456(New)
  • 23位: donald(New)
  • 24位: password1(New)
  • 25位: qwerty123(New)

まぁこんなもんですよ・・・と思いますねー(他人事)

事例1.ノーパスワード

今時ノーパスでは使えないものが多いですが、それでもあります。スマホにしても、PCのログインにしても結構あります。さすがにWeb系のサービスでノーパスは無理ですが…

漏洩事故などで当事者の方々と話す機会が多いのですが、お願いだから「もう少し、しっかり考えて欲しい」と思うのです。訳のわからない持論を展開する方々、ノーパス最強みたいな。。。それは事故が起きるまでは大丈夫ですよ。その事故時期が事前にわかるならば、それでもいいのですが、そうではありません。最低限、何もないよりはワーストパスワードの123456でもいいので、何か使って下さい。

事例2.覚えなくても記憶出来るパターンのスマホパスワード

スマホのパターンパスワードですが、エル、ゼット、エヌなどをよく見ます。クライアント先以外でどうしても気になるのが、電車の中など誰かの後ろに立っている時です。別にのぞき込んで見ているわけじゃないのですが、ホントによく見えるんですよ。背後に人が居るようなところで気をつかう方々はもう少し別なの使っていたり、画面も指の動きも見えないように操作しています。たまにいますよ。う~んセキュリティ意識が凄いね。

背後からのハック5点と4本の線で作る「Androidの指パスワード」強化法なども参考にどうぞ。

事例3.文字の並びを使う

キーボードの並びを使うものです。ランキング25位のqwertyとか、ナナメ、Wなどです。部分的に使うならばアリかも知れませんが、まぁ別な方がイイと思います。文言以外で法則性のあるので配列なので使われる傾向にあるようです。皆同じことを考えるものですね。

かな文字入力の出来る方ならば、かな文字と英数字を混ぜて使用すれば、入力時は気になりませんが、実際に入力されているのは英数文字なので、実用的なパスが出来ます。やはりポイントは混ぜて使うことです。

事例4.個人別、ダメなパスを使う

社員番号、携帯番号、生年月日…個人属性にかかわるもの。使っちゃダメなものもそのまま使う。使っちゃだめなんでしょ?でも覚えられないからさぁ…という水が上から下に進むような流れ。部分的に使うなり、なぜダメなのかの理解が少ないように感じます。子供に火遊びは危ないからダメ!とその理由も説明しないままにダメで本当にしないのか?という話に似てるような気がします。

事例5.ワーストパスワードの利用

例年ほとんど中身の変わらないワーストパスワードですが、結構使われています。研修などでワーストパスワードの話をするのですが、それ俺のパスワードじゃん!という方々に、リスクや作り方の説明をします。すべての案件を追い掛けられませんが、一部の方々にはその後に会う機会があります。もちろんパスも変わっていますが、まぁランキングの中で行ったり来たりレベルです。数字の桁数がちょっと増えたりくらいなもの。

何故かセキュリティをキッチリ出来ない人に共通するのが、訳のわからない持論を持っていることです。その考え方もいいですが、まずはほぼ安全と思われる方法を取り入れ、試して見ることが今できる最善の策なのでやりましょう!というのが、どうもイヤみたいですね。次のイベントは容易に想像ができますね。

番外事例

結構理想的なパスを作ったのに、入力に声に出ちゃっている。それ情報漏れてますよー

指差しの安全確認など、物理的に動作を伴ったものは有効です。声出しもそうです。しかしパスワードではモロバレなのでダメです。

・・・

結局、やらない(やれない)方々も、

・セキュリティは重要だよね。 

・でも毎回入力するの面倒なんだよね。

・じゃあ事故ったらどうしますか? ⇒ そんなの起きないから…大丈夫

・・・そだねー

これはもう事故起きるまでわからないかも…と。何の対策もしてないので、何か起きるかもですが、ただただ起きないことを願うことしか出来ませんねー

「パスワード」カテゴリーの投稿も参考にどうぞ

新倉 茂彦 2018/12/21 13:42:56 Comment(0)