テクノロジーを簡単に言うと

ウェブサイトのパスワード制限があなたを安全に保たない理由

最近数年の間にアカウントを作成したことがあるなら、これらのサイトの多くが特定の条件下で「安全でない」パスワードを使用していることを叱責しているのに気づいたことでしょう。時には、「登録」ボタンを押す前に、パスワードフィールドの横に「弱いパスワードを使用しています」という小さなメッセージが表示されることさえあります。

一部のサイトは、彼らが考える弱いパスワードでの登録を完全に拒否するかもしれませんが、他のサイトは警告を出すだけで、結局は自分の意志で好きなようにさせてくれます。それに関して、これらのサイト(ほとんど)は共通点があります。「安全なパスワード」の基準は、あなたを安全に保つものではないということです。

悪い習慣を作る

websitepassword-badpass

ほとんどのウェブサイトで最初に気づくことの一つは、すべてのサイトが「強い」パスワードと見なされるための類似の基準を持っているように見えることです。ほとんどのサイトでは、基準は次のとおりです:

  • 最低6または8文字
  • 最低1つの数字と1つの文字
  • 時には少なくとも1つの大文字。

この場合、「Ironclad1」のようなパスワードは素晴らしく、その特定のウェブサイトの要件を満たします。ほとんどのサイトがこれらの要件だけを持っているため、人々は「Ironclad1」、「Sallyepstein4」、「Michael1985」などが良いパスワードであることに慣れてしまうかもしれません。サイバーセキュリティに関する本の最初の3ページを読んだことがある人は、これは非常に安全でないことを知っていますが、これはセキュリティが5行のコードの価値しかない後回しの考えとして、ウェブ上の何百万ものサイトによって暗黙のうちに基準として確立されています。

ハッカーは単に辞書攻撃を使用してあなたのパスワードを破ることができ、それで終わりです。

一部のウェブサービス(Googleなど)は、パスワードを作成するために記号(「!」や「$」など)を使用することを要求します。これにより、「$allyepstein4」のような有効なパスワードが作成され、辞書攻撃は年々洗練されています。

良いパスワード習慣とは?

websitepassword-lock

良いパスワードとは何かについては多くの議論がありますが、すべての人が一般的に同意するいくつかのことを見てみましょう。良いパスワードは:

  • 大文字、数字、小文字などの幅広いアルファベットと数字のバリエーションを含む
  • 予測不可能な場所に記号がある(「@shley」は「@$_hley」よりも安全性が低い。なぜなら、単語の真ん中にアンダースコアがあり、辞書攻撃が通常「@」を「a」に置き換え、「$」を「s」に置き換える場所だからです)
  • スペースを含む(「I @te a S4nDw1ch」のように)
  • 合理的な文字数の上限に達する(「 I l0v3 LuC#Y 」は「 Th1S p4ssword sH_oulD b3 h@rd to cr@ck 」よりも安全性が低い)
  • 単語の非標準的な誤字を含む(例:「should」の代わりに「schuld」、「beef」の代わりに「beffe」、「instead」の代わりに「inszteda」、「maketecheasier」の代わりに「mektekezier」など)

もちろん、持っていることができる最高のパスワードの一つは、記憶するのが非常に難しいものです(例えば:「 ifjecBucE083$&&8c ociefjC#&$6c iof0e0($# 」)。提供された例が、上記のすべてのルールを利用した完全なナンセンスであることに注意してください。これにはスペースの導入も含まれています。これは、最も洗練された辞書攻撃にとっても非常に非標準的です。あなたのパスワードのハッシュを保存しているデータベースが安全で、暗号化キーが正しく管理されている限り、ハッカーがあなたのアカウントを破る価値が低くなります。

もちろん、すべてのサーバーが安全であるわけではなく、あなたが使用するサービスの1つが侵害されてパスワードが漏洩する可能性があります。だからこそ、各サービスに異なるパスワードを持つことが重要です

しかし、15のパスワードを記憶することはできませんし、私が「持っていることができる最高のパスワードの一例」として提供したものを記憶することはなおさら難しいです。これに対抗するために、あなたのパスワードを管理してくれる非常に安全なシングルサインオン(「アイデンティティ管理」とも呼ばれる)サービスを使用することができます。これにより、あなたはそれらを記憶する必要がなくなります。これらのサービスは数年前から存在していますが、私の専門的な意見では、まだ未開の領域ですので、慎重に進めてください。自分で調査を行い、サービス名の後に「breach」という言葉を付けて検索し、それがハッキングされたことがあるかどうかを確認してください。

問題を解決する方法

websitepassword-chainlock

ここで解決しようとしている問題は、ウェブ上でアカウントを作成する膨大な数の人々に、パスワード作成のベストプラクティスを理解させることです。これは壮大な作業のように聞こえますよね?

実際には、どこかに情報を提供するのと同じくらい簡単です。Googleはそのガイドラインでこれをうまく行っていますが、もう少し進めるべきだと思います。

称賛にもかかわらず、私は、パスワードフィールドの横にこれらのガイドラインへのリンクを含めて、アカウント登録の段階でユーザーが簡単にアクセスできるようにするのが最良だと思います。誰かがこれを無視した場合、それは彼ら自身の権利ですが、その時点で誰もがこの主題に関する教育資料を読む機会がなかったとは言えなくなります。

この実践を採用するようにアカウントデータベースを保持する何百万ものウェブサイトを説得することが唯一の難しい部分です。しかし、これらのウェブサイトのほとんどは大規模なソフトウェア(WordPressやDrupalなど)を使用しているため、将来のアップデートでこのようなものを提供するようにこのソフトウェアの開発者に連絡する方が良いアイデアかもしれません。ウェブサイトがソフトウェアを更新すると、登録ページに自動的にこれらのガイドラインが表示されるようになります!

良いパスワードの意識を広めるために、他に何ができると思いますか?コメントでこのことについて話し合いましょう!

内容

  1. 悪い習慣を作る
  2. 良いパスワード習慣とは?
  3. 問題を解決する方法
Ello-dashboardprofile

Ello: プライベートソーシャルネットワークの探求

Bitdefenderがインストールされない:使用できる3つの簡単な解決策

Bitdefenderの修正についてもっと知る

GoogleがInboxを終了し、6ヶ月の猶予を与える

アスペクト比-16x9

ビデオのアスペクト比を理解する

タグでファイルを整理するファイルマネージャー:トップ5

Wake on LANが動作しない修正

Wake On LANがWindowsで動作しない [解決済み]

easycap-mac-mspacman-console

EasyCAPを使用してMacでVHSとコンソールをキャプチャする

GoogleはWindows 11アップグレードの適格性を判断する新しいChrome機能をテスト中