WordPressのログインパスワードを強くする。

前回と前々回の記事では、現在、世界中のWordPressサイトを標的に行なわれている、不正アクセス(ブルートフォースアタック)の大規模攻撃について書いてみました。

今回のWordPress大規模攻撃に対して、WordPress開発元が示した対策はというと、ユーザー名を「admin」から別のものに変更することと、パスワードを強固なものにすることの2つ。

あまりにシンプルだったので、ちょっと拍子抜けしてしまいましたが、それまで私が目にしてきたいろいろな対策は、実際にはあまり意味がなかったというのがわかった点では収穫でした。

ただ、ユーザー名をadmin以外のものにするのは簡単ですが、どうすればパスワードが強いものになるのかいう点については、これまで私は深く考えたことがありませんでした。

適当に長い文字列にすれば、それで良いだろうという程度?

しかし、今回のWordPressサイト大規模攻撃のおかげというべきか、強固なパスワードを作成するコツというものがあることがわかりました。

参考になったのは、Computerworldサイトの「「WordPress」利用サイトを狙った大規模攻撃が継続中」という記事で紹介されていた、「Selecting a Strong Password」というWordPress.comのサポートページ。

このページで、強いパスワードを作成するためにすべきこと、すべきでないことなどが詳細に説明されています。

英語の記事なので、英語が苦手な方は、Google Chromeの翻訳機能を使ってください。私も試してみましたが、完璧ではないものの、かなりいい線いってます。大意をつかむにはまったく問題ないと思います。

WordPress.com日本語版にも同じ内容の日本語ページがあるかと探してみたのですが、なぜか見つかりませんでした(あったらスイマセン)。

というわけで、私のいい加減な英語力で、このページの重要なポイントだけを、ちょっと訳してみたいと思います。

記事タイトルは、「強いパスワードを選ぶ」といった感じでしょうか。

内容的には、「パスワードを選ぶときにしてはいけないこと6箇条」、「強いパスワードを選ぶための基本編3箇条」、「強いパスワードを選ぶための応用編2箇条」、「追加ポイント7箇条」に分けられています。順番に紹介してみます。

パスワードを選ぶときにしてはいけないこと6箇条

  1. 単語だけとか、数字だけのパスワードはだめ。辞書で見つけた難しい単語とか、誕生日や電話番号など。
  2. 個人情報を使ったパスワードはだめ。知り合いに推測される可能性があります。
  3. アルファベットをよく似た数字で置き換えてはだめ。「Steve」を「St3v3」にするとか。
  4. 単語を逆から読んだパスワードはだめ。「password」を「drowssap」にするとか。
  5. パスワードを書きとめてはだめ。誰かが見つける可能性があるので、安全ではない。
  6. すべてのサイトで同じパスワードを使ってはだめ。一度破られると、全部のサイトが破られます。

強いパスワードを選ぶための基本編3箇条

  1. 最低でも8文字数以上のパスワードにする。12~16文字数だとなお良い。
  2. アルファベットの大文字と小文字を混在させる。パスワードがより強くなる。
  3. アルファベットだけでなく、数字も入れる。最初や最後が数字というケースよりも、途中に数字が入っているほうがよい。

強いパスワードを選ぶための応用編2箇条

  1. 記号や句読点、空白(スペース)を入れると、パスワードがもっと強いものになる。空白は覚えやすいのでおすすめ。
  2. パスフレーズを使う。自然とスペースを入れることができる。

追加ポイント7箇条

  1. 同じパスワードを2度使ってはだめ。「パスワードを選ぶときにしてはいけないこと6箇条」の6番目と同じ理由。
  2. パスワードマネージャーソフトやパスワードジェネレータを使う。KeePassなど。
  3. メールアドレスが本人確認に使われることが最も多いので、メールのパスワードこそ最強にする。
  4. 定期的にパスワードを変更する。
  5. パスワードは絶対共有しない。パスワード漏洩が疑われたらすぐに変更する。
  6. パスワード問い合わせのメールに返事をしない。
  7. 自分のものではないパソコンを使っている時に、パスワードを記憶する機能を使わないようにする。

「強いパスワードを選ぶ」の翻訳は以上です。

どうでしょうか?

上記の強いパスワードを選ぶための各項目、特に「強いパスワードを選ぶための基本編3箇条」と「強いパスワードを選ぶための応用編2箇条」に照らし合わせてみて、ご自分のパスワードは合格点を超えているでしょうか?

私の場合、「パスフレーズ」という言葉は知らなかったのですが、このWordPressサイトのパスワードは偶然、パスフレーズになっていました。

また、パスワード中に数字は入れているのですが、アルファベットの大文字は使っていませんでした。

記号や句読点、さらには空白(スペース)まで入れることができるとは知りませんでした。空白は今後使ってみようと思います。

と、ここまで書いてきて、本当に空白が使えるのかどうか、「新規ユーザーの追加」画面から試してみたところ、「ヒント: パスワードは7文字以上にしてください。より強力にするには、大文字と小文字のアルファベット、数字や ! ” ? $ % ^ & ) などの記号を組み合わせて使ってください。」というパスワード作成のアドバイスが表示されていることに発見。

login-password-01

さんざん遠回りしてきて、答えはすぐそこにあったというわけです(笑)。

ただ、パスフレーズのことや、空白を使うことについては書かれていないので、これからパスワードを作成する方は、マイクロソフトのサイトの「強力なパスワードおよびパスフレーズの作成に関するヒント」ページを参考に、パスフレーズで空白を入れたパスワードを作成するとよいのではないかと思います。

.end

  • このエントリーをはてなブックマークに追加

コメントをどうぞ

メールアドレスが公開されることはありません。