一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は4月4日、「適切なパスワードの設定・管理方法について」を発表した。これは3月27日(米国時間)、US-CERTのカレントアクティビティにて、適切なパスワードの設定・管理方法が取り上げられ、同日に注意喚起(US-CERT Alert TA18-086A)が発表されたことを受けたもの。これによると、ひとつのパスワードを複数のアカウントに対して試みる「パスワードスプレー攻撃」などが頻繁に行われているという。日本においても、リスト型攻撃やパスワードを狙うフィッシングメールなどの報告が多いことから、利用するパスワードの設定方法やログイン履歴などを確認し、IDやパスワードの適切な管理を心がけるよう呼びかけている。具体的な方法として、次のポイントを挙げている。推奨されるパスワード設定方法・多要素認証が有効な場合は使用する・異なるシステムに対しては異なるパスワードを使用する・電話番号や誕生日など、個人情報を基にした文字列は使用しない・可能な限り長い文字列を使用する・特定の言語の辞書に載っているような単語を使用しない推奨されるパスワード管理方法・パスワードを他人に教えない・パスワードを他人の目につく場所に残さない・パスワードを入力する対象が本来意図したもの(サイトなど)であることを確認する(サーバ証明書など)・パスワードを入力する際には、周囲から覗き込まれていないことを確認する・ネットワークを介してパスワードを送信する際には、通信経路が暗号化されていることを確認する・パスワードを聞き出すようなフィッシングメールや電話に注意するシステム側での対策方法・多要素認証の仕組みを導入する・ユーザがパスワードを忘れてしまった場合のリカバリ方法について、適切に設定を行う・アカウントロックの仕組みを導入し、適切に設定を行う・ユーザのパスワードは、ソルトやハッシュ、ストレッチングを利用し、適切に保管する
