パスワード設定・管理・システム対策のポイント最新版(JPCERT/CC) | ScanNetSecurity
2024.03.28(木)

パスワード設定・管理・システム対策のポイント最新版(JPCERT/CC)

JPCERT/CCは、「適切なパスワードの設定・管理方法について」を発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は4月4日、「適切なパスワードの設定・管理方法について」を発表した。これは3月27日(米国時間)、US-CERTのカレントアクティビティにて、適切なパスワードの設定・管理方法が取り上げられ、同日に注意喚起(US-CERT Alert TA18-086A)が発表されたことを受けたもの。

これによると、ひとつのパスワードを複数のアカウントに対して試みる「パスワードスプレー攻撃」などが頻繁に行われているという。日本においても、リスト型攻撃やパスワードを狙うフィッシングメールなどの報告が多いことから、利用するパスワードの設定方法やログイン履歴などを確認し、IDやパスワードの適切な管理を心がけるよう呼びかけている。

具体的な方法として、次のポイントを挙げている。

推奨されるパスワード設定方法
・多要素認証が有効な場合は使用する
・異なるシステムに対しては異なるパスワードを使用する
・電話番号や誕生日など、個人情報を基にした文字列は使用しない
・可能な限り長い文字列を使用する
・特定の言語の辞書に載っているような単語を使用しない

推奨されるパスワード管理方法
・パスワードを他人に教えない
・パスワードを他人の目につく場所に残さない
・パスワードを入力する対象が本来意図したもの(サイトなど)であることを確認する(サーバ証明書など)
・パスワードを入力する際には、周囲から覗き込まれていないことを確認する
・ネットワークを介してパスワードを送信する際には、通信経路が暗号化されていることを確認する
・パスワードを聞き出すようなフィッシングメールや電話に注意する

システム側での対策方法
・多要素認証の仕組みを導入する
・ユーザがパスワードを忘れてしまった場合のリカバリ方法について、適切に設定を行う
・アカウントロックの仕組みを導入し、適切に設定を行う
・ユーザのパスワードは、ソルトやハッシュ、ストレッチングを利用し、適切に保管する
《吉澤 亨史( Kouji Yoshizawa )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×