ウェブサイトのパスワード制限があなたを安全に保てない理由
ここ数年で1つか2つのアカウントを作成した場合、これらのサイトの多くが特定の条件下で「安全でない」パスワードを使用したことであなたを叱るのに気づいたでしょう。パスワードフィールドの横に、弱いパスワードを使用していることを示す小さなメッセージが表示される前に、[登録]ボタンを押す必要がない場合もあります。
一部のサイトでは、弱いパスワードと見なされるものに完全に登録できない場合がありますが、他のサイトでは、警告を発して、とにかく自分の意志でやりたいことをやらせてくれます。とにかく、これらのサイトには(ほとんど)共通点が1つあります。それは、「安全なパスワード」の基準があなたを安全に保つことにはならないということです。
悪い習慣を偽造する
ほとんどのWebサイトで最初に気付くのは、「強力な」パスワードと見なされるものについて、すべてのWebサイトが同様の基準を持っているように見えることです。ほとんどのサイトでは、基準は次のとおりです。
- 最低6文字または8文字
- 最低1つの数字と1つの文字
- 少なくとも1つの大文字が含まれる場合があります。
この場合、「Ironclad1」のようなパスワードはただの桃色であり、その特定のWebサイトの要件を満たしています。ほとんどのサイトにはこれらの要件しかないため、「Ironclad1」、「Sallyepstein4」、「Michael1985」などが適切なパスワードであるという事実に慣れることがあります。サイバーセキュリティに関する本の最初の3ページを読んだことがある人なら誰でも、これが信じられないほど安全ではないことを知っていますが、セキュリティが5行のコードに値する後付けであるWeb上の何百万ものサイトによって暗黙のうちに確立されています。
ハッカーは単に辞書攻撃を使用してパスワードを解読する可能性があり、それで終わりです。
一部のWebサービス(Googleなど)でも、パスワードの作成に記号(「!」や「$」など)を使用する必要があります。これにより、「$ allyepstein4」のようなものが有効なパスワードになり、辞書攻撃は年々高度化しています。
適切なパスワードの習慣は何ですか?
何が良いパスワードになるのかについては多くの議論がありますが、すべてのニュアンスを調べて説明するのではなく、誰もが一般的に同意するいくつかのことを見ていきます。良いパスワード
- 大文字、数字、小文字など、さまざまな英数字のバリエーションが含まれます
- 予測できない場所に記号があります(「@shley」は「@ $ _ hley」よりも安全性が低くなります。これは、単語の途中にアンダースコアがあり、辞書攻撃では通常、「a」と「」の代わりに「@」がスキャンされるためです。 「s」の代わりに$」)
- スペースが含まれています(「I @ te aS4nDw1ch」など)
- 妥当な文字制限の上限に達します(“ I l0v3 LuC#Y 」は「Th1Sp4sswordsH_oulD b3 h @ rd to cr @ ck」よりも安全性が低くなります。 「)
- 単語の型にはまらないスペルミスが含まれています(たとえば、「should」の代わりに「schuld」、「beef」の代わりに「beffe」、「instead」の代わりに「inszteda」、「maketecheasier」の代わりに「mektekezier」など。 )
もちろん、使用できる最高のパスワードの1つは、メモリにコミットするのが簡単ではありません(例:「 ifjecBucE083 $ &&8c ociefjC *#&$ 6c iof0e0($ *# 「)。提供されている例は、スペースの導入を含め、上記のすべてのルールを利用した完全なジブリッシュであることに注意してください。これは、最も高度な辞書攻撃でも非常に型破りです。パスワードのハッシュを保存するデータベースが安全であり、暗号化キーが正しく管理されている場合、ハッカーがアカウントを解読する価値は低くなります。
当然のことながら、すべてのサーバーが安全であるとは限りません。また、使用する1つのサービスで、パスワードが漏洩する可能性があります。これが、サービスごとに異なるパスワードを設定することが重要である理由です。 。
しかし、「あなたが持つことができる最高のパスワードの1つ」の例として私が提供したものは言うまでもなく、15個のパスワードを実際に覚えることはできません。これに対抗するために、パスワードを記憶する必要がないようにパスワードを監視する、安全性の高いシングルサインオン(「ID管理」とも呼ばれます)サービスを使用できます。それらは何年も前から存在していますが、その概念はまだ未知の領域であるため(少なくとも私の専門家の意見では)、軽く踏みます。独自の調査を行い、サービスの名前に続いて「違反」という単語をグーグルで検索して、ハッキングされたことがあるかどうかを調べます。
問題の解決方法
ここで解決しようとしている問題は、Webでアカウントを作成する膨大な数の人々に、パスワード作成のベストプラクティスを理解してもらうことです。これは大変な作業のようですね。
実際、どこかに情報を提供するのと同じくらい簡単です。 Googleはガイドラインを使用してこれをうまく処理していますが、十分に進んでいません。
称賛に値しますが、パスワードフィールドの横にこれらのガイドラインへのリンクを含めて、アカウント登録段階でユーザーが簡単にアクセスできるようにするのが最善だと思います。誰かがこれを無視した場合、それは彼ら自身の特権ですが、その時点では、この主題に関する教育資料を読む機会がなかったとは誰も言えません。
これについての唯一の難しい部分は、アカウントデータベースを保持している何百万ものウェブサイトにこの慣行を採用するよう説得することです。ただし、これらのWebサイトのほとんどはビッグボックスソフトウェア(WordPressやDrupalなど)を使用しているため、このソフトウェアの開発者に連絡して、将来のアップデートでこの種のものを提供することをお勧めします。ウェブサイトがソフトウェアを更新するとすぐに、登録ページでこれらのガイドラインが自動的に取得されます!
優れたパスワードの認知度を高めるために、他に何ができると思いますか?コメントでこれについて話し合いましょう!
-
Pokémon GO が安全でない理由
ポケモンイアはすぐに死ぬことはありません。どちらかといえば、アジア (ポケモンが利用できるアジアの国はインドネシアと韓国の一部のみ) や他の場所で正式にリリースされたときに、別の飛躍的なスタートを切るでしょう. しかし、拡張現実ゲームではすべてがうまくいきません。そして、あなたがそう思った場合に備えて、私たちはあなたに誤った警報を出していません.ポケモン狩りに行く前に知っておきたい問題のリストを作成しました。すべての銃が燃えています. データ セキュリティ Niantic Labs、ゲームの開発者は、iOS デバイスからゲームにログインするために Google アカウントを使用している場合、
-
VPN は安全に使用できますか?必要な理由
特にHTTPサーバーでWebサイトを使用している場合や、デバイスを公共のWifiに接続している場合は特に、Webサーフィンは危険な取引と見なされることがあります.これらの安全でない接続により、ブラウジングの詳細、保存されたパスワードまたは資格情報、およびその他のプライベート ユーザーの詳細が公開される可能性があります。 誰かがあなたのブラウザ セッションやその他のオンライン アクティビティを盗聴するのを防ぐために、VPN (仮想プライベート ネットワーク) を利用できます。 VPN の機能を簡単に説明すると、VPN はネットワークの IP アドレスを隠したり隠したりするために使用され、サイト