パスワードについて復習しよう
おはようございます!アイシーティーリンクの國分です。
今月はなんと、13日の金曜日なのです。何にもないぞとわかっていても、チェーンソーを持ったあいつが来るかも?と思ってしまいますね。(ちなみに映画は見たことないです。)
大切なもの(命)を奪われてしまうかも?!?気を引き締めよう!と言うことで本日はパスワードの攻撃手法をサクッとおさらいしましょう。
パスワード攻撃手法、どんなものがあるの?
スプレー攻撃
ありがちなパスワード(そのまんま「password」とか)をとりあえず入力していく攻撃手法です。
なんと!パスワードのランキングが掲載されているサイトがあります。
2024年版はまだ出ていないので2023年版です。
ランキング見てびっくりすると思います。
覚えやすさ重視にする人ほんとに多い。
(ベターなpasswordから単なる数字の並び、キーボードの並び順なんかもある)
2019年から2022年のトップ200を掲載しているpdfもあります。
https://s1.nordcdn.com/nord/misc/0.78.0/nordpass/top-200-2023/200-most-common-passwords-en.pdf
2022年から「password」が1位になっているのは、パスワードの最低桁数が8桁に設定されるところが増えた影響でしょうか。
パスワードって「付箋に書いて端末にペター」なんてやったらISMSの指摘事項になりますね。ましてや厳しく設定しているサイトだと「3ヶ月に一回更新」とかそんなルールもありますね。それで少しでも覚えやすいパスにするのでしょうか。
「私に限って侵入されるはずない!」と甘く見るのはやめましょう。
辞書攻撃
辞書に載っている言葉を入力する手法です。
(passwordはもしかしたらこちらかも?)
ちなみに一番長い英単語は「Pneumonoultramicroscopicsilicovolcanoconiosis」(45文字)です。
辞書に載っている言葉だからおそらくこれもアウトな気がします。
そもそもパスワード覚えられるか?と言う疑問が湧きますが。パスワードの最大文字数がある場合も気をつけましょう。
対策方法は辞書に載っている言葉は設定しない。それだけです。
ブルートフォース攻撃
「総当たり攻撃」とも呼ばれる手法です。
パスワードとして推測される文字列を全部試します。時間はかかるが確実にやられます。
パスワードロック、かかったことありますか?「最初の文字が大文字だったっけ?」「aはそのままaを使ってたっけ?」と朧げな記憶で色々なパスワードを試していると「これ以上IDパスでのログインはできません。」と止められるアレです。
パスワードロックがかかった通知のメールが来たら速やかに更新することをおすすめします。
(焦ってメールに記載されているURLをクリックしたらフィッシング詐欺だったとかもあるので気をつけて!)
パスワードを設定する際には複雑なものを設定しましょう!
Microsoft Entra IDのパスワードポリシー
Microsoft Entra IDではパスワードのポリシーの要件にどんなものがあるか見てみました
使える文字
英数字(大文字・小文字)
記号- @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <>
スペース
記号の種類が豊富でびっくりしました。@とか%程度だろうと思っていました。
Unicode文字は使えません。🎸👀 ←こんなかんじのもの
パスワードの長さ
最小8文字、最大256文字
「password」はぴったり8文字です。45文字のさっきの英単語も行けます。(だめです)
パスワードの複雑さの指定
4つカテゴリがあるが、そのうちの3つが必要とのこと。
1.大文字
2.小文字
3.数字
4.記号
最近、記号必須のパスワードを指定してくるサービスも増えましたね。
最近使用されていないパスワード
現在利用しているパスワードと同一のパスワードを設定するのことを禁止すること。
ずっと更新していないとブルートフォース攻撃で突破されてしまいます。
パスワードがMicrosoft Entraのパスワード保護によって禁止されていないこと
グローバル禁止パスワード(よく使われるパスワードをMicrosoftが調査しているパスワード)やカスタム禁止パスワード(組織で設定できる独自の禁止パスワード。よくあるのが会社名とか本社の場所など)に含まれていないもの
ちなみにグローバル禁止パスワードの内容は非公開だそうです。
長くなってしまいました。それでは今週はこのあたりで!良い一日をお過ごしください。