セキュリティ | DIYジャーナル

【これなら安全】覚えやすく破られにくいパスワードとは？

管理者DIY — Tue, 25 Sep 2018 17:46:44 +0000

サービスのログインに使用するパスワードを決める時に悩むのは、堅牢なパスワードは覚えづらく、覚えやすい簡単なパスワードは破られやすい事ですよね。

一般的にはサービスごとにパスワードを別の文字列にすることや、大文字小文字や記号を組み合わせて複雑な文字列にすることが推奨されていますが、それだと普段から頻繁に入力するとなると使い勝手が悪いですよね。面倒くさいです。

とはいえ簡単なパスワードは簡単に破られやすく、悪意のある何者かにパスワードが破られてしまえば、クレジットカードを勝手に使われたり、サービスのアカウントを乗っ取られたりといった大きな被害を被ることになってしまいます。

そこで、この記事では安全で忘れにくいパスワードについて提案したいと思います。

覚えやすく破られにくいパスワードはこれ
パスワードが破られるケースとは？
1. 総当たり攻撃により破られるケース
パスワードが漏れるケースとは？
終りに

覚えやすく破られにくいパスワードはこれ

サービス名のアルファベット文字列　＋　全サービス共通の任意の文字列
です。

例えば：
G-Mail_seikatu@C5DvTGb14

のような形です。

この場合、「G-Mail」の部分ががサービス名（LineとかYahoo!といったサービス名の文字列が入ります。）

以降の「_seikatu@5DvTGb14」の部分が全サービス共通の任意の文字列です。

seikatuのような辞書にあるような既存の単語は1文字と数えるようにするとより安全です。

※ただし誕生日や実名など類推されやすい文字列を使わない事

なぜこの形式が安全なのか、以下に説明します。

パスワードが破られるケースとは？

総当たり攻撃により破られるケース

パスワードが破られる最も多いケースとして、総当たり攻撃があります。

専用のツールを使い、文字列の全組み合わせを一つ一つしらみ潰しに調べて突き止める方法です。

この場合、人間の読解性は関係ありません。単純に文字列の長さで堅牢さが決まります。

例えば、パスワードに使用可能な文字が下記の95種だったとします。

英大文字	[A-Z]（26文字）
英小文字	[a-z]（26文字）
数字	[0-9]（10文字）
記号	(スペース) ! ” # $ % & ‘ ( ) * + , – . / : ; < = > ? @ [ ] ^ _ ` { \| } ~（33文字）

これを使った11文字のランダムな文字列のパスワードは、95の11乗もの組み合わせがあります。
※例：tqSehM9hSr7

つまり全部で、95の11乗＝5,688,000,922,764,599,609,375の組み合わせがありますが、これが3日ほどで破られてしまうそうです。

そこで、1文字増やして12文字とするとどうでしょうか？組み合わせは95倍となるので、破られるまでの日数も95倍、95×3＝285日かかることになります。

さらに13文字に増やすと285×95＝27,075日、つまり74年かかることになります。

これならまず大丈夫です。

総当たり攻撃をブロックするには13桁以上の文字列にしましょう。

ただし、サービスによっては、大文字や記号が使えない場合もあります。その場合は文字数を増やして強度を上げてください。

文字種	文字のパターン数	安全な文字数
数字のみ	10	24文字以上
数字、小ローマ字	36	16文字以上
数字、大小ローマ字	62	14文字以上
数字、大小ローマ字、記号	95	13文字以上

パスワードが漏れるケースとは？

サービス会社のセキュリティが破られたり内部犯行のケース

企業のパソコンにスパムウェアが侵入して顧客の個人情報が盗まれたり、企業内部の人間が個人情報データを闇業者に横流ししたといったニュースをたまに見かけます。

このような場合、複数のサービスでパスワードを使いまわしている方は、パスワードが漏れた会社のみならず他のサービスでもパスワードが悪用されることが考えられます。

対処法としては、サービスごとにパスワードを変えましょう。

上記のように、全サービス共通の任意の文字列＋サービス名とすれば覚えやすいですよ。

誕生日や名前などから類推される文字列

個人情報が外に漏れてしまった場合に、企業に登録した誕生日や名前などを単純に組み合わせたパスワードを使っている場合は破られてしまう恐れがあります。

たとえ、名前や誕生日の文字列をバラバラに組み合わせたアナグラムとして使っていたとしても、名前や誕生日の文字のみを使った総当たり攻撃をされるてしまうと簡単に破られてしまいます。

なので、そういったパスワードはお勧めしませんが、それでも覚えやすいメリットはあるので、例えば分かりやすい1単語は1文字とみなして、他に記号や大文字小文字と組み合わせて、正味13文字以上とするなら問題ありません。

例えば↓のような形です。

あなたが使っているパソコンにスパムウェアが侵入し、漏れてしまうケース

あなたの使っているパソコンにスパムウェアが仕掛けられ、パスワードやカード情報などの入力文字列が外部に送られてしまうケースも発生しています。

スパムウェアの侵入の原因は怪しげな海外のサイトを開いたときや、フリーソフトをインストールしたタイミングで起こるケースが多いようです。

こういった被害を防ぐには、怪しいサイトやメールを開かないことはもちろん、定期的にパソコンにウィルス検査ソフトを実行することが必要です。

もし侵入されてしまった場合は既にパスワードが抜き取られてしまったことも考えられます。

被害が拡大しないように、すぐにパスワードを変更しましょう。

上記の「全サービス共通の任意の文字列」の部分を変更すればOKです。

また、サービスが対応していれば2重認証を設定しておくと安心です。

※2段階認証とは、ID/パスワード入力の他に、セキュリティコードの入力や、スマホ上でのログイン可否の選択を追加することで、第3者に不正なアクセスを防止する仕組みです。

パスワードのフィッシングメールにひっかかってしまったケース

スパムウェア以外にもパスワードのフィッシング詐欺が流行ってますね。

金融機関やクレジットカード会社など、各種サービスの公式メールを装い「パスワードの脆弱性が見つかりました。今すぐパスワードを変更してください」とか

「カードの不正利用が見つかり一時使用を停止しました。パスワードを変更してください」とか

「メンテナンスのためパスワードをリセットしました。新しいパスワードを設定してください。」などの言葉で煽られ、メール文中に記載されたURLをクリックすると、公式サイトそっくりの画面が開き、指示通りに個人情報やパスワードやカード番号を入力してしまうと、それらの情報が盗まれてしまいます。

この場合、どんな複雑で堅牢なパスワードでも防ぎようがないですし、普段から注意していなければなりません。

また、複数のサービスで同じパスワードを使いまわしている場合にはさらに被害を拡大させてしまう恐れもあります。

被害を拡大させないためにも、サービスごとに異なるパスワードを使用しましょう。

終りに

というわけで、覚えやすく安全なパスワードを紹介しました。よかったら参考にしてみて下さい。

IDにメールアドレスが使われるサービスが多いですが、どこかでメールアドレスを公開している場合や外部に漏れてしまった場合、アタックされやすくなり被害の危険度が増すことになるので特に注意してください。

知らぬ間に個人情報がダダ漏れに、プライバシー設定を変更する（Windows10）

管理者DIY — Sat, 01 Oct 2016 17:53:15 +0000

Windows10では、インストールした初期設定で、プラバイシー情報をアプリ間やMicrosoftと共有する設定になっています。

動作が重くなる原因ともなりますので、まだプライバシー設定を確認していない方は、一度確認してみることをおすすめします。

スタートメニューの「設定」→「プライバシー」の順に選択してプライバシーオプションの設定画面を開きます。

１．スタートメニューの「設定」をクリック

２．「プライバシー」をクリック

３．プライバシーオプションの設定画面

初期設定では、名前や画像、そのほかのアカウント情報にアプリが自由にアクセスできるようになっています。

また、位置情報もアプリやWindowsのサービスで取得できるようになっています。

なんとカメラへもアプリが自由にアクセスできるようにもなっています（ひどい）。

その他、アドレス帳や、カレンダーにもアプリからアクセスできるようになっていたり、アプリが勝手にメール送信できるようにもなっています。

Bluetoothなどの無線を使ったデータの送受信もできるようになっています。

気になる方は、とりあえず一通りオフにしておいた方がいいでしょう。

一番下の、バックグラウンドアプリも不要と思われるものはオフにした方が無難でしょう。

初期設定が個人情報ダダ漏れの設定になっており、最初に見たときぞっとしました。

とりあえず、気になるものはすべてオフにしてしまった方がいいと思います。

mshta.exeを利用した悪質なワンクリックウェアを削除する方法（Windows10で実行）

管理者DIY — Thu, 12 May 2016 08:57:49 +0000

mshta.exe　というワンクリックウェアが知らぬ間にインストールされてしまい、
パソコン画面上にポップアップ広告が表示されてしまうようになってしまいました。

ネット上で対策方法を探しましたが、情報が古いものもありました。
今回うまくいったのは以下の方法です。

使用OSは　Windows10　です。
↓　↓　↓

原因
症状
対策（mshta.exeの削除）
1. ▼mshta.exeの削除方法
おすすめウイルス撃退ソフト
1. ノートンセキュリティ
2. ウイルスバスタークラウド
  1. ウイルスバスターの人気の秘密

原因

海外サイトの広告をクリックしてしまったのが原因らしい。
特に明示的なダウンロードやインストールをしていない。

症状

プログラム（mshta.exe）が自動起動し、パソコン画面上に四角い白枠が表示されるようになった。

対策（mshta.exeの削除）

・タスクマネージャーを立ち上げ、「プロセス」タブを開きます。
プロセス名一覧に「Microsoft(R)HTML アプリケーションホスト」というプロセスがあれば、
これを選択して「タスクの終了」ボタンをクリックすると、一時的には消えます。

・しかし、これだけだと本体の mshta.exe は残ったままなので、パソコンを再起動すると、またこのプログラムが立ち上がってしまいます。
次にこれを削除します。

▼mshta.exeの削除方法

mshta.exe本体は、C:\Windows\System32　ディレクトリ内にあります。
これをそのまま「Delete」キーで削除しようとしても削除できません。

フルコントロール権限を持つユーザーが「TrustedInstaller」のみとなっていて、
パソコンの管理者権限でも消せないようになっていました。
憎らしいですね。
（ちなみにTrustedInstallerはAdministratorよりも上位の権限です。
コマンドプロンプトのプログラム「cmd.exe」なども、フルコントロール権限はTrustedInstallerのみにあります。）

この権限を変更します。

①まずコマンドプロンプトを管理者権限で立ち上げます。

コマンドプロンプトのプログラムも　C:\Windows\System32　内にあります。
cmd.exeを探し、右クリックして「管理者として実行」を選択して起動します。

②次に以下のコマンドを入力し、実行します。

takeown /f C:\Windows\System32\mshta.exe

（mshta.exeへのパス「C:\Windows\System32\mshta.exe」は環境により変わるかもしれません。正しいパスを確認してから実行してください。）

「成功：」と表示されれば、
ファイルの所有者が現在ユーザーに移り、ファイルを操作できるようになります。

ここまでいけばもう一息です。

③mshta.exeを削除します。

mshta.exeファイルを右クリックしてプロパティを開き、
セキュリティタブの「編集」ボタンをクリックします。

「フルコントロール」にチェックを入れれば、
mshta.exeを削除できるようになります。

参考サイト：http://pc.miyakat.info/trus/