サーバーやアカウントのIDとパスワード

サーバーやアカウントのIDとパスワード

Webサイトを運用するにはWebサーバーを利用しなければなりません。また、サイトの種類や内容によってはWordPressなどのCMSを利用したり、メールフォームや掲示板などの外部ツールを利用することもあります。

これらのサーバーやツールには、管理者がログインするためのIDやパスワードが設定されていますが、万が一、IDとパスワードが第三者に知られてしまうと不正アクセスや情報の改ざんなどが行われる可能性もあります。IDやパスワードは絶対に他人には知られないように厳重に管理しなければなりません。

攻撃者によるパスワードの推測

今現在、コンピューターの性能は驚くほど進化を続けています。一昔前までは「8文字以上のパスワード」ならば安全だと言われていました。しかし現在、もし総当たり攻撃を仕掛けられたら、「英数字 + 記号8文字」のパスワードでは、数時間で解析されてしまいます。

How Secure Is My Password?」というWebページでは入力したパスワードの解析にどれくらいの時間がかかるのかを調べることができます。適当な8文字のパスワードを入力してみると、その解読時間に驚いてしまうかもしれません。

また、仮に総当たり攻撃への対策をしていたとしても、かつて流出したパスワードをまとめたリストや、名前や誕生日、地名などの意味のある単語をまとめたリストを使った「辞書攻撃」が行われることもあり、攻撃者はより効率的に短時間でパスワードを盗み出してしまいます。

関連ページ:パスワードリスト攻撃

安全なパスワードの目安

情報セキュリティについての調査・研究や情報発信を行なっているIPA(情報処理推進機構)では、2011年には安全なパスワードの目安として「8桁以上」としていましたが、現在では桁数を指定せず「できるだけ長く」「複雑で」「使い回さない」の3点をパスワードの作成方法として推奨しています。

参考:不正ログイン対策特集ページ(IPA)

現在は一般的に、10桁以上の「英字大小文字 + 数字 + 記号」であれば比較的安全だと言われています。しかし、今後もコンピューターの性能が上がることを考えたら、これくらいではすぐに解読できるようになってしまうかもしれません。できるだけ長く推測されにくいパスワードを設定するようにしてください。

Webサーバーの管理者権限

Webサーバーには、サーバーに対してあらゆる操作を行うことができる管理者権限のIDが存在します。UNIX系のサーバーなら「root」、Windows系のサーバーなら「Administrator」などが管理者権限のIDに設定されています。

これらのアカウントは全ての権限を持っているため、攻撃者にも狙われやすくなります。管理者権限のIDは初期設定の「root」や「Administrator」から別のものに変更し、パスワードも強固なものにしておいてください。

また、パスワードの流出を防ぐために、管理者権限の必要ない日常の作業には作業用IDを作成して、なるべく管理者権限のIDを使用しないことも大切です。

検索

MENU

サンプルコード集

Webの基礎知識

coming soon…

  • コンテンツ制作中
PAGE TOP