使いやすいパスワード
産業技術総合研究所(産総研)が2018年2月に外部から不正アクセスされたことに対する調査報告書が、7月20日に「産総研の情報システムに対する不正なアクセスに関する報告」として公開しました。
攻撃者は最初にメールシステムに不正にログインし、まずIDとパスワードの両方を探索し、IDが特定できたにパスワードを試行攻撃したとこことです。これはITmedia エンタープライズ に「"使いやすいパスワード”が、大規模組織のシステムをつぶす」として解説されています。
パスワードの試行攻撃では、キーボード配列のような弱いパスワードを設定したアカウントで多く発生し、試行回数は数十から数百程度とされています、キーボード配列のような弱いパスワードについては具体例はしめされていませんが、たとえは 「qwerty(キーボードのQから右に順に5つの文字)や、「qazwsx (キーボードのQから下に3つ選び、次にQの右側のwから同様に選ぶ)」のようなものです。よく使われるパスワードのリストは毎年のように調査され発表されていますのでご覧ください。(調査結果)
パスワードについては、これまで定期的に変更するようにとされていましたが、昨年(2017年)、これを提唱していたアメリカのビル・バー氏が誤りであったことを認めるなどで、総務省もインターネット利用時のパスワードについて、「パスワードの定期変更は必要なし」と方針を変更しています。(内閣サイバーセキュリティセンター「ネットワークビギナーのための情報セキュリティハンドブック」)
パスワードの変更では、以前使っていたシステムでは、定期的に変更を求められたのですが、予告なしに突然変更するように警告メッセージが表示され、変更しなければログオンできないものでした。突然新しいパスワードを設定するように求められた場合、安易なパスワードにせざるを得ず、システム部門に対し、せめて1週間前から予告するなどをするように要望を出しても、音沙汰なしであった経験があります。