SUPPORT サポート
パスワードは10桁以上の複雑な文字配列が推奨されています
近年、ニュース等でも「不正アクセス」や「不正ログイン」が行われる事例も増えて参りました。不正利用を少しでも防ぐために、「パスワード管理」を今一度ご確認下さいます様お願い致します。
パスワードの解読時間例
下記の表は、2008年に情報処理推進機構(IPA)より公開されたパスワードの最大解読時間です。使用する文字の種類及び桁数が少ないほど、解読時間も短くなっていることがわかります。
2008年当時と比べ現在のコンピューター等の性能は遥かに向上している為、更に短い時間での解読が可能である事は容易に想像がつきます。但し、高性能なコンピューター等でパスワード解読を行ったとしても、使用する「文字の種類の多さ」及び「桁数の長さ」の組み合わせが複雑であればある程、パスワードの解読に時間を要することに変わりはありません。
| 使用する文字の種類 | 使用できる 文字数 |
最大解読時間 | |||
| 入力桁数 | |||||
| 4桁 | 6桁 | 8桁 | 10桁 | ||
| 英字(大文字、小文字区別無) | 26 | 約3秒 | 約37分 | 約17日 | 約32年 |
| 英字(大文字、小文字区別有)+数字 | 62 | 約2分 | 約5日 | 約50日 | 約20万年 |
| 英字(大文字、小文字区別有)+数字+記号 | 93 | 約9分 | 約54日 | 約1千年 | 約1千万年 |
引用:http://www.ipa.go.jp/security/txt/2008/10outline.html
パスワード設定の推奨事項
内閣サイバーセキュリティセンター(NISC)でも、英大文字+英小文字+数字+記号を組み合わせた10桁以上が推奨されております。
文字の種類や桁数が少ない等、少しでも当てはまる事項がありましたら、是非この機会にパスワード設定の再考を推奨致します。
- 桁数を増やす
- 英大文字・英小文字・数字・記号等を複数組み合わせる
- 意味の成す文字列を用いない
- その他
桁数を増やす
パスワードを設定する際の桁数は、長ければ長い程、解読に要する時間も長くなります。
パスワード設定に桁数の上限がある場合には、上限内で可能な限り桁数の多い設定を推奨致します。
| ×:非推奨例 | ○:推奨例 |
| ×××× △△△△ |
●●●●●●●●●●●● ◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆ |
英大文字・英小文字・数字・記号等を複数組み合わせる
同じ文字、数字のみ、英大文字のみ等の単一な文字種別だけではなく、複数の文字種別を組み合わせて設定する事を推奨致します。
なお、記号に関しましては利用できる記号種別に制限のある場合がありますので、その際には制限の範囲内で設定を行ってください。
| ×:非推奨例 | ○:推奨例 |
| 1111 ABCD |
f3)[yEtlF% y{A8ept^*T!_?y2Y](#e |
意味の成す文字列を用いない
英文字や数字の組み合わせ時に、意味の成す単語の生成や生年月日を用いないことも大切です。
2020年、米国のトランプ元大統領自身が利用していたTwitterアカウントのパスワードが解読されたと話題になりました。この時のパスワードは「maga2020!」を設定しており、「Make America Great Again(アメリカを再び素晴らしい国にしよう)」の言葉から各頭文字を組み合わせた文字列と言われています。この推測を行い、なんと4回目でパスワード解読に成功したそうです。
この事から、意味の成す文字列は推測されてしまう可能性もある為、推奨致しません。
| ×:非推奨例 | ○:推奨例 |
| 20201125 Apple1234 |
}PJR+#M{t3&7[5t&>*F& f%nYRhE(}hm-A*J74~N3Gh_{*Fp&H_fJ |
その他
上記パスワード設定に加え、様々なセキュリティ対応策を加えることにより、より強固パスワード管理が期待できます。
◆定期的なパスワード変更
以前は「定期的なパスワード変更は有効」である認識が一般的でした。しかし2017年に「米国国立標準技術研究所(NIST)」より「定期的なパスワード変更は不要」と言う趣旨が発表され、この認識も変わりつつあります。主な理由は、文字配列がパターン化する事やサイト毎での使い回しに繋がってしまう懸念がある為と言われています。但し、万が一パスワードの漏洩等があった場合には、パスワードの変更も必要です。パスワード変更につきましては、状況に応じた対応をご検討ください。
◆ログイン時の制御
[2段階認証]
パスワードに追加して、SMS等に届く認証コードの入力も必要であり、2段階の認証が必要な仕組みです。
[ログイン試行回数制御]
予め指定された回数以上のログイン失敗時に、一定時間のログインを禁止する仕組みです。
◆通信等環境面の制御
[ファイアーウォール]
攻撃特有のアクセスや予め設定した通信を遮断する仕組みです。
「IPアドレス制御」
特定のIPアドレスを指定してアクセスを遮断する仕組みです。
※上記はご利用されるサーバーにより利用可否が異なります。詳細はご利用されているサーバー会社様またはサーバー管理者様にご確認ください。
弊社のパスワードのお取り扱いにつきまして
作業進行上で必要な場合に限りお預かり致しましたパスワード等のログイン情報につきましては、納品後に弊社が有する全データから全て削除対応を致しております。
また納品後は必ずお客様側にてパスワード等の情報変更の対応をお願いしており、変更可否の確認もさせていただいております。
パスワード等の情報変更を行わないままで発生した不正なアクセスやログイン及びその影響につきましては、弊社で一切の責任は負い兼ねます事を予めご了承ください。
正常なWEBサイト運用を行う為にも、当ページに記載の情報も参考にしていただき、お客様各自でのパスワード等の徹底管理にご協力を賜れます様お願い致します。
補足
当ページに記載の内容を行うことで、「不正アクセス」や「不正ログイン」を完全に防ぐお約束を保証するものではありません。お客様にて複数の対応や対策を講じると共に、各自での徹底した管理をお願い致します。
当ページでは、弊社のHTML/CSSコーディング代行サービスに関連する項目に絞ってご案内しております。上記以外のセキュリティ対策等につきましては、専門業者様やサーバー管理会社様にお問い合わせいただけます様お願い致します。
