パスワードは文字配列より文字数 JPCERT/CC対リスト型攻撃の設定推奨方法紹介

一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、「STOP! パスワード使い回し! キャンペーン 2019」キャンペーン合わせて、インターネットサービスにおいてのパスワード使いまわしの危険性を呼び掛けております。

リスト型攻撃を防ぐパスワード設定

JPCERT/CCは、パスワードの使いまわしにより「リスト型攻撃」の被害に遭う危険があるとして、対策につながる安全なパスワード設定や管理について推奨方法を挙げております。
パスワード設定において単調な文字の組み合わせは、攻撃者に推測されるもしくはすでに情報を持たれていることから突破されやすいとのことで、以下の要項に沿って設定することを推奨しております。

・パスワードの文字列は、12文字以上を目安に長く設定
・大小英字や数字、記号の組み合わせは効果的
・簡易な単語、生年月日、数字、キーボードの配列などはログインIDに設定しない
・他のインターネットサービスで使用しているパスワードを使用しない

文字数の長さがセキュリティ強化に効果的

JPCERT/CCによると、近年のパスワード設定において文字配列はもちろんのこと、“文字数”を増やす方が攻撃者に特定されてくいとのことです。

例として、「p@ssword」のように“a”を“@”に置き換える文字配列パターンは、攻撃者側の情報として事前に把握されている可能性が高いとのこと。それよりも、パスワードの文字数を1つでも多くする方が重要とのことで、これにより攻撃者は特定に手間が掛かり、認証セキュリティとして高い効果を発揮できると説明しております。
 

【参考URL】
「パスワードは12文字以上でより強固に」、不正ログイン防ぐための設定・管理方法をJPCERT/CCが解説