今日は、「世界パスワードの日[World Password Day] 」だそう、ラジオで言ってました。

へ～、これは知りませんでした。

という事で、まずは、Bing AI先生に確認

Q．World Password Dayについて教えて。

Ａ．「ワールド・パスワード・デイ」は、毎年5月の第1木曜日に行われる記念日です。この日に合わせて多くのセキュリティ企業が啓発を行なっています。パスワードの安全対策を、今一度ご確認ください。たいていの攻撃に耐えられるように強化できます。パスワードの強化に加え、2要素認証または2段階認証の設定をおすすめします。ともにサービス側が提供する機能で、前者の方が安全性は高いと言われます。

Q．World Password Dayは、いつ、だれが 決めましたか。

Ａ．「世界パスワードの日（World Password Day）」は、毎年5月の第1木曜日に行われるイベントです。この日は、パスワードの重要性を認識し、より安全なパスワードを作成することを呼びかけるために設定されています。このイベントは、米国のセキュリティ企業であるIntel Security（現在はMcAfee）が2013年に提唱し、世界中で広く認知されるようになりました。

出典元はこの辺、
　https://okane7289.com/world-password-day/
　https://www.sourcenext.com/product/security/blog/article/2023/04/world_passwordday/

なるほど、大体わかりました。

毎年5月の第1木曜日なので、今年（2023年）は、５月４日（木）ということですね。

パスワードの「設定と管理のあり方」について、総務省から提示されていますので、リンクを貼っておきます。

https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/basic/basic_privacy_01-2.html

この中で、注目すべきは、パスワードの定期的な変更についての記述、

「パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所（NIST）からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです。また、日本においても、内閣サイバーセキュリティセンター（NISC）から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています。」

しかし、未だに、パスワードの定期変更を要求してくるサービスは、多い様ですが。。。

パスワード攻撃の種類と対策を思い付く範囲で。

１．ブルートフォース攻撃（Brute Force Attack）

何やら必殺技っぽい音の響きがありますが、訳すると「総当たり攻撃」という、手あたり次第で時間を掛ければ必ずパスワードを解読出来る、確実ですがご苦労な攻撃です。

これは、Webサービスでは、トライ＆エラーを繰り返すと、ロックが掛かったり、ログに残ったりしますので、あまり現実出来では無くそれほど使われないのではと思います。（個人の感想）

威力を発揮するのが、PPAPでおなじみパスワード付きZipや、パスワード付きExcel等かなと思います。（解析ツールやプログラムの作り方が、恐ろしい事にWeb検索で出て来たりします。）

対策は、解読に膨大な時間が掛かるようにしてあきらめさせる事。
つまり、パスワードを長く複雑に。

２．辞書攻撃（Dictionary Attack）

なんか知的な響きはありますが、単語・人物名・よく使われるパスワード・その組み合わせ等の、パスワード候補の文字列を辞書化して使う攻撃。「総当たり攻撃」よりは楽をするもので、知的ではない。

対策は、辞書に載らない様な意味の無い、長い文字列を作る事。
こちらも、パスワードを長く複雑に。

３．パスワードリスト攻撃（Password List Attack）

IDとパスワードの組み合わせのリストを使用した攻撃。リストは、フィッシングやサイバー攻撃で漏洩し、「ダークウェブ」等で流れているものを使うのでしょうか。IDとパスワードの組み合わせは、使いまわしされる事が多い事を狙っている？
例えば、ツイッターとインスタグラム、どちらも メールアドレスとパスワードでログイン可。という事は、どちらかが漏洩したら。。。両方アウト。

対策は、IDとパスワードの使い回しをしない事。
つまり、サービス毎にパスワードを変える事。

という事で、

パスワードは、

１．英・数・記号を混ぜた１０桁以上（これからは１２桁以上の方が良いかも）
２．なるべく意味のない文字の並びとする（自分には意味があっても他人には意味不明）
３．パスワードの定期変更は行わなくてよい（漏洩等が自分に関係すると思われる時に変更）
４．パスワードの使い回しは行わない。

しかし、パスワードのみではセキュリティが保てない厳しい世の中となって来ておりますので、

上記にプラスで、

５．多要素認証・二段階認証のサービスがあれば、積極的に使う

これでどうでしょうか。

多要素認証・二段階認証：

多要素認証とは、「知識情報」「所持情報」「生体情報」という異なる認証要素を2つ以上組み合わせて本人確認を行う認証方法です。
　　知識情報：パスワード・暗証番号・秘密の質問・・・
　　所持情報：SMS認証・アプリ認証・ワンタイムパスワード・・・
　　生体情報：指紋認証・顔認証・静脈認証・・・

二段階認証とは、上記の様な認証要素（同種の要素でもよい）を2つ組み合わせて本人確認を行う認証方法です。

「パスワード」と「秘密の質問」の様に「知識情報」の組合も二段階認証ですが、漏洩の観点ではセキュリティは低いと思います。
現在は、パスワード「知識情報」＆SMS認証「所持情報」のような、二段階の多要素認証が主流になって来ているようです。