パスワードの運用・管理のすすめ

こんにちは。技術部のsです。

さまざまなサービスで利用することが当たり前となっている、パスワード。
皆さんはどのように運用をしていますか？

推測されやすいパスワードを利用していることにより、例えば
「メールアカウントが不正に利用され、自分の知らないところでスパムメールが大量に送信されていた・・」
という事例も少なくありません。

ブルートフォース攻撃や辞書攻撃といったものでパスワードが解読されないよう、強力なパスワードを設定しておく必要があります。

強力なパスワードについて

・長さ
　パスワードはできるだけ長くすることが推奨されます。最低でも12文字以上が理想です。

・文字の多様性
　大文字と小文字、数字、記号を組み合わせることで、より強力にします。

・予測ができない文字列
　「password123」のような予測可能なフレーズは避けましょう。

・辞書に載っていない単語
　辞書に載っているような単語や簡単なフレーズは避けましょう。

・多要素認証の導入
　パスワードに加えて、多要素認証を設定することで、セキュリティをより強化できます。
　万が一、パスワードが漏洩しても、その先の認証が突破できないとログインできません。

なお、利用するサービスやシステムによっては、パスワードポリシーが定められており
解読されやすいパスワードは利用できないことが一般的ですね。

ついでに、RHEL系OSで便利なパスワード生成ツールも簡単に紹介させていただきます。

便利なパスワード生成ツール (Linuxコマンド)

mkpasswd

パッケージ[expect]に入っています

・使い方
　-l で文字数を、-s や -c 等で利用する文字種の数が指定出来ます。
　特殊な文字を5文字含めた20桁のパスワードを生成したい時は以下のコマンドになります。

# mkpasswd -s 5 -l 20
w5+!(jk=fk4ao(tVjzXe

pwgen

パッケージ[pwgen(epelレポジトリ)]に入っています

・使い方
　-y で記号を含めるかの指定を、-s で文字数を、数字で生成するパスワードの数を指定出来ます。
　記号を含む20桁のパスワードを、1つ生成したい時は以下のコマンドになります。

# gen -y -s 20 1
t5Cg-GP)DLW+’uS])qG1

パスワードの定期変更について

パスワードを定期的に変更することについては、意見が分かれており、総務省からは定期変更は不要との声明が出ています。

なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られる等のサービス側から流出した事実がない場合は、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。

https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/security/business/staff/06

重要なのは、同じパスワードを複数のサービス、システムで使いまわすのではなく、強固なパスワードを使い分けることで
情報漏洩などのインシデントが発生した際には速やかにパスワードを変更することです。

また弊社では、サーバの運用・保守の代行サービスを行うなかで
サーバへのログインアカウントや、メールアカウントなどを作成しておりますが
強固なパスワードを設定のうえ、納品させていただいておりますのでご安心くださいませ！

IT化が進んでいく世の中、便利なインターネットを安全に利用してくためにも
自己防衛はしっかりと行っていきたいものです。