インターネット上のCMS運用セキュリティ視点で、
重要なパスワードの生成や運用についてのTips。
WordPressなどCMSの運営や管理で、IDとともに重要になるのがパスワードです。WordPressの場合、ユーザー追加時に自動で生成されますが、それを元にに、さらに踏み込んだ運用についてまとめてみました。
安全なパスワードとは
パスワードはある程度の長さで、推察されにくいパスワードにしてください。御社名や電話番号、社長の名前、御社サービス名など、サイトに掲載されるワードはさけてください。意味不明なパスワードが良い、とされていますが、これは間違いではないのですが、ポイントはハッカーにとって意味不明である事が重要です。ハッキングでDictionary Attackという辞書に掲載されている単語を中心にアタックする手法がとられたりします。
理想的には、ある程度長いランダムな英数字の並びが好ましいですが、覚えなければならないパスワードの場合は、英語でも日本語(ローマ字)でもよいので無関係な(文章にならない)複数の単語をつなげたり、その間に数字列を挟んだりしたものであれば、推測されにくく、覚えやすいパスワードを作ることができます。
総務省:国民のためのサイバーセキュリティサイト「安全なパスワード管理」より
パスワードは難読不能な記述が良い、これはわかるのですが覚えておきたいケースもあるかと思います。その場合は以下のような方法もありかと思います。
- 例えば、「山田」の場合、半角英数となると「yamada」となります。これを「y@m@d@」とすることで難読なパスワードとなります。
- 「東京」でしたら「tokyo」ですが、これを「to-kyo-」とすることで難読なパスワードでもあり、覚えやすくもあります。
ID・パスワードの受け渡しや保存について
IDやパスワードで問題になるのは、保存方法で、平文(見たまま判読できるテキスト)での保存は避けた方がよいです。意外なほどに、お使いのマシン(PC)から情報が漏洩しているケースがあります。IDとパスワードが書かれたテキストデータでしたら、開封パスワードをかけて圧縮する、とか、最低限エクセルなどのデータで開封パスワードを設定してください。チーム間で共有する場合、メールで共有する場合は、パスワードを設定したファイルにしてください。メール文中に直接記載するのはオススメしません。そして、そのファイルにパスワードを設定してください。
上記補足:パスワードは共有するのではなく、パスワードマネジャーをつかい管理するのが安全なようです。どうしてもパスワードを共有(お伝え)する必用がある場合、クラウドツールなどを使い、ファイルにもパスワードを設定しておくとよいでしょう。ただ、Excelのパスワードは意外とハッキングできてしまいますのでご注意ください。
サイバーセキュリティにおいて、パスワードの共有はまったく推奨されていません。
会社内でパスワードを共有することで、脆弱性が生じ、個人情報などが漏洩する危険性が高まります。 サイバー犯罪者は転送中の情報を傍受することができるため、テキストメッセージや Slack メッセージなどの安全ではない経路でクレデンシャルを共有すると、データ漏洩やサイバー攻撃のリスクが高まります。漏洩した場合、その個人情報はダークウェブに流れてしまうかもしれません。