インターネット上のCMS運用セキュリティ視点で、
重要なパスワードの生成や運用についてのTips。

WordPressなどCMSの運営や管理で、IDとともに重要になるのがパスワードです。WordPressの場合、ユーザー追加時に自動で生成されますが、それを元にに、さらに踏み込んだ運用についてまとめてみました。

安全なパスワードとは

パスワードはある程度の長さで、推察されにくいパスワードにしてください。御社名や電話番号、社長の名前、御社サービス名など、サイトに掲載されるワードはさけてください。意味不明なパスワードが良い、とされていますが、これは間違いではないのですが、ポイントはハッカーにとって意味不明である事が重要です。ハッキングでDictionary Attackという辞書に掲載されている単語を中心にアタックする手法がとられたりします。

理想的には、ある程度長いランダムな英数字の並びが好ましいですが、覚えなければならないパスワードの場合は、英語でも日本語(ローマ字)でもよいので無関係な(文章にならない)複数の単語をつなげたり、その間に数字列を挟んだりしたものであれば、推測されにくく、覚えやすいパスワードを作ることができます。

総務省:国民のためのサイバーセキュリティサイト「安全なパスワード管理」より

パスワードは難読不能な記述が良い、これはわかるのですが覚えておきたいケースもあるかと思います。その場合は以下のような方法もありかと思います。

  1. 例えば、「山田」の場合、半角英数となると「yamada」となります。これを「y@m@d@」とすることで難読なパスワードとなります。
  2. 「東京」でしたら「tokyo」ですが、これを「to-kyo-」とすることで難読なパスワードでもあり、覚えやすくもあります。

ID・パスワードの受け渡しや保存について

IDやパスワードで問題になるのは、保存方法で、平文(見たまま判読できるテキスト)での保存は避けた方がよいです。意外なほどに、お使いのマシン(PC)から情報が漏洩しているケースがあります。IDとパスワードが書かれたテキストデータでしたら、開封パスワードをかけて圧縮する、とか、最低限エクセルなどのデータで開封パスワードを設定してください。チーム間で共有する場合、メールで共有する場合は、パスワードを設定したファイルにしてください。メール文中に直接記載するのはオススメしません。そして、そのファイルにパスワードを設定してください。

上記補足:パスワードは共有するのではなく、パスワードマネジャーをつかい管理するのが安全なようです。どうしてもパスワードを共有(お伝え)する必用がある場合、クラウドツールなどを使い、ファイルにもパスワードを設定しておくとよいでしょう。ただ、Excelのパスワードは意外とハッキングできてしまいますのでご注意ください。

サイバーセキュリティにおいて、パスワードの共有はまったく推奨されていません。

会社内でパスワードを共有することで、脆弱性が生じ、個人情報などが漏洩する危険性が高まります。 サイバー犯罪者は転送中の情報を傍受することができるため、テキストメッセージや Slack メッセージなどの安全ではない経路でクレデンシャルを共有すると、データ漏洩やサイバー攻撃のリスクが高まります。漏洩した場合、その個人情報はダークウェブに流れてしまうかもしれません。

keepersecurity.com/blog

上記「パスワードを覚えておきたいケース」として例を挙げましたが、さらにパスワードを保存する際に以下のような点に注意することで、パスワードの漏えいを小さくする事ができます。

  1. パスワードを全文保存するのではなく一部を保存し、不足分は別の場所に留め置く。
    例として、保存するパスワードを、CO4nNX$QyG、として不足分をパスワードの更新日として、2024_0718AM、とした場合、実際のパスワードは、CO4nNX$QyG2024_0718AM、ですが、保存されているのは前半のみですので、ハッキングされても使うことはできません。
  2. パスワードの更新タイミングはいつだったのかを調べることで、実際に使えるパスワードとなります。
  3. さらにパスワード管理者の名前を追加してみるのも方法です。
    例えば、担当者が山田であった場合、前記のようにy@m@d@とします。すると、使えるパスワードは、CO4nNX$QyG2024_0718AMy@m@d@となります。
  4. こうすることで、CO4nNX$QyG、これをベースにパスワード更新日と管理担当者というチームメンバーのみが知る項目でパスワードの難易度を高くすることができます。

ちなみに上記のパスワード「CO4nNX$QyG2024_0718AMy@m@d@」解析するのに何年かかるかをセキュリティツールを使って計測してみましたところ、2.1305287982577764e+36 年と表示され、これは、「2.1305287982577764×10の36乗年」という意味で、このパスワードをクラッキングするには、2,130,528,798,257,776,400,000,000,000,000,000,000年(2,130,528,798,257.7764穣(ジョウ)年→約2.2正年)かかるという意味だそうです。

兆の上の単位:京(ケイ)、垓(ガイ)、(ジョ)、穣(ジョウ)、溝(コウ)、澗(カン)、正(セイ)、載(サイ)、極(キョク・ゴク)、恒河沙(コウガシャ)、阿僧祇(アソウギ)、那由他(ナユダ)、不可思議(フカシギ)、無量大数(ムリョウタイスウ)※以上は学生の時に記憶するのが流行ったのです。自分の記憶では、恒河沙(コウガシャ)は、黄河砂だったのですが、記憶って変わるね