WordPressのパスワード選び
Gem-one adITの権蔵です。
皆様、こんにちは!
前回、Wordpressの管理者名をAdminにしている方へアラートを出させてもらいました。
記事、読んでいない方は、是非よんでくださいね。
Wordpressの管理者名 adminのままですか?
どうしていけないの?
前回の記事で、「総当たり」という言葉を使って脅威をご紹介しました。
パスワードを「手持ちの辞書」や「予測「勘」などで総当たりすれば不正ログインができてしまいます
では総当たりってどうしてるの?というお話を1つ。
総当たり
実に地道なお話です。
たとえば、ユーザログインの頁で、IDにadminを指定して
1回目:パスワード0001でログイン
2回目:パスワード0002でログイン
3回目:パスワード0003でログイン
:
というように、機械的にパスワードを1つづつ変更してログインを試みる方法があります。
ログイン出来るまで、ずっと続けていく、地味な方法です。
また、一般的によくしられたパスワードの一覧を準備し、総当たりする場合もあります。
1回目:パスワードadminadminでログイン
2回目:パスワードAdminPassでログイン
3回目:パスワードhogehogeでログイン
:
この一覧のことを「辞書」という言い方をしてます。
どんな内容かは分かりかねますが、人の名前でしたり、愛称、adminなどの一般的な語彙が登録されていると思ってください。
この一覧にあるパスワードで、1回ずつ、ログインを試みるわけです。
パスワードは、推測しにくいものを入れなさいと、色々な人から言われると思います。
誕生日は駄目だとか、名前をいれちゃいけないよとか。
めちゃめちゃな文字の並びでパスワードを作ってもいいんでしょうが、人間、覚えにくいものを覚えるほどつらいものはないです。
だから、大抵、何かの言葉だったり、愛称などを入れてしまいがち。
その裏をついてきているということですね。
総当たりに引っかからないパスワードを選ぼう
不正アクセスを試みる人は、機械的なアクセスや、辞書などを利用したアクセスを行ってきます。
これに対する防御は、最終的にはパスワードの「頑丈さ」につきます。
色々ソフトウェアで防御は出来ますが、そうはいってもパスワードが最後の砦になります。
パスワード選び
では、その砦に使うパスワードは、どんなものが良いのでしょうか?
・出来るだけ長い文字のパスワードであること
・国語辞典や英語の辞典などに載っている言葉を使わないこと
・数字、アルファベット小文字大文字を含むこと
・パスワードに、言葉の意味を持たせないこと
また、
・定期的に変更すること
も忘れずに。
なかなかハードル高いですよね。
でも、「お金をかけずに安全を買える」んですから、やってみてくださいね♪
皆様、よいパスワード選びを!
ではでは!
