サーバ管理者宛メール見て気付いのたんだけど昨日から今日にかけてオーストラリアとオランダから大量のブルートフォースアタックが来てた。
サーバにFail2banを入れていて、パスワード間違いなどを繰り返すと不正利用とみなしてその間違った人が使っているIPアドレスを指定した一定時間だけ自動的にアクセス禁止にするようになっている。ついでにその時点で「こいつBANしたよ」というメールが管理者宛に届く。
これまでも毎日数十件程度はメールが届いてはいたが、今回は一気に4500件を超えている。
メールは数回間違うと1回届く割合なので少なくとも実際にパスワードが試された回数はその数倍、切り良く1万回とみると、全てのアタックが同一アカウントに対して行われたとして4桁数字のパスワードなら総当りで確実に奪われる計算になる。もっとも、前提条件を絞ってこれなら実は大したことがない数字ではある。
ただし、未だに英数字2〜4桁みたいなパスワードを使う人がいることを考えると全然大丈夫とも言い切れない。
今の時代はパスワードは最低10文字で、16文字以下なら英数字大文字小文字記号混ざりは厳守して欲しいところ。
最近のシステムは100文字くらいまで入力できるようになっているのも多いので入力の手間も考えて16〜48文字が妥当な線かと。
日本では一般の人には未だ「パスフレーズ」があまり普及していないようだが、人間は8文字を超えると記憶するのが難しいがパスフレーズにすると圧倒的に簡単に憶えられる。元々パスフレーズは桁数の少ないパスワードと比較して強固だと考えられるが、単純にならないよう自分だけの工夫を少し加えると更に強固になる。
例: ある日 森の中 熊さんに 出会った → Aruhi Morinonaka Kumasanni Deatta
自分の好きな歌、詩、文章などにすれば憶えやすいし、この例で既に33文字にもなる。
このようなパスフレーズであれば複数あっても憶えられるので同一パスワードをあちこちで使いまわすなどという危険も侵さなくて済む。
ただし、この例だと憶えやすいが少し単純なので、「熊さん」を知人やペットの名前にする、スペースを#などの記号にする、大文字小文字の出現順を独自のルールにするなどすればブルートフォースアタックで破られる可能性は現実的にゼロになる。
作ったパスワードがどのくらい強固か確認するためにインテルさんが提供している「How Strong is Your Password?」のページを訪れ中央のテキストボックスに作ったパスワードを入力します。パスワード総当りでどのくらいの時間でパスワードが破られてしまうか表示されます。最低でも1年以上はかかる強度のものを作りましょう。
パスワードマネージャの導入も両手を挙げて賛成というわけではないが、パスワードを使い回しするような人にはお勧めしたい。
ウェブサイトAではパスワードはこれで、ウェブサイトBではパスワードはあれでと全て個別のパスワードで登録しておけば、あるサイトでアカウント情報が漏洩した場合でも他のサイトの自分のパスワードを大慌てで変更して廻らなくて済む。
また、パスワードマネージャによっては登録したサイトを選択すると自動的にログインしてくれるものもあるので便利だ。
ただし、インターネット上にデータを置くようなパスワードマネージャは使用すべきではないし、スマホなどに置くというのも最悪だ。データの置き場所が難しい。
スマホで使えるけどデータはVPNで自宅というのが理想的かも。