パスワード窃取に対する自己防衛
JAISTアカウントの利用者であるあなたは,パスワードが他人の手に渡らないよう適切に管理しなければなりません。
JAISTアカウントのパスワードは,メール,デスクトップ環境,その他JAISTの様々なシステムにログインするために大切なものです。このパスワードが他人に知られると,JAISTシステムにおけるあなたの権限が他人に渡ることになります。すると,あなたの個人情報が窃取されるだけでなく,あなたのJAISTアカウントを利用しての学内外に対する迷惑行為,あるいは不正アクセスや詐欺などの犯罪行為等に悪用される恐れがあります。この場合,あなたは被害者であるだけではなく,本学の社会的信用の失墜を招く行為に加担した立場になり得ます。
このページでは,そのようなパスワード流出およびそれによる被害を防止するための基本的な自衛策を示します。
(1) パスワードは他人に知られないようにする。
1-a. 聞かれてもパスワードを他人に明かさない。
- システム管理者,指導教員,家族,友人,学長を含め,誰にもパスワードを明かしてはなりません。
1-b. パスワードを自ら開示しない。
- 問い合わせ時などにユーザ名と共にパスワードも伝える人がいますが,絶対におやめください。
- 友人にユーザ名とパスワードを伝え、自分の代わりにログインを頼む行為も行ってはいけません。
1-c. パスワード入力時に見られないようにする。
- パスワード入力時,だれかに見られていませんか?
- PC等にキーロガー(キー入力をこっそり記録するソフト)が仕込まれていませんか?
1-d. パスワードをメモする場合は自分しか見られないところに保管する。
- 他人から見えるところにメモを貼ったり置いたりしていませんか?
- 他人にアクセス権のある記憶領域にメモを置いていませんか?
1-e. 学外のサイトでJAISTのパスワードを入力しない。
- 学外サイトでJAISTのパスワード入力を要求することはありません。そのサイトは高い確率で詐欺サイトです。
(2) パスワードの文字列には十分な強度を持たせる。
2-a. 複雑かつ覚えやすいパスワードを推奨します。
- そのようなパスワードの作り方は多数ありますが,次にそのうちのいくつかを示します。
- http://www.microsoft.com/ja-jp/security/online-privacy/passwords-create.aspx
- https://support.google.com/accounts/answer/32040?hl=ja
- 上の例もそうですが,短い文(複数の単語)を,自分の覚えやすい方法で変更する方法がお勧めです。
- 変換方法の例をいくつか挙げます。複数を覚えやすい程度に組み合わせて適用するとよいでしょう。
- 他人(有名人など)の誕生日等を分割して挿入する。(xx1xx2x3xxxx1など)
- 英文字を形の似た数字や記号に置き換える(例:a→@,t→+,o→0,など)
- 特定の位置に特定の記号/数字を使う(例:5文字目と12文字目は@にする,など)
- 特定の位置を大文字/小文字にする(3n文字目は大文字にする,など)
2-b. 複雑なパスワードとは,概ね以下のすべてを満たすものをいいます。
- パスワードの長さは10文字以上にする。
- パスワードに大文字/小文字/数字/記号のうち3種類以上を使う。
- 単純な文字列,類推可能な文字列は脆弱なので使用しない。以下に例示しますが,それらに限りません。
- ユーザ名と同一
- ユーザ名+数字(jaist256など)
- 反復性が顕著な文字列(aaaaaaaa,xxyyyyxx,abcdabcd)
- 英単語,地名,人名,商品名,組織名,略称(hokkaidoなど)
- キーボード配列に基づく文字列(qwertyなど)
- 誕生日,電話番号,車の番号など個人に付帯する情報に基づく文字列
- 上述の文字列の一部または全部を大文字あるいは小文字にした文字列(hoKkAiDoなど)
- 上述の文字列を逆順にした文字列(OdiaKkoHなど)
(3) 他サービスとのパスワードの使いまわしはしない。
JAISTのパスワードと他サービスのパスワードとは異なるものにしてください。
3-a. 多数のサービス毎に別々のパスワードを作成して使うのはそれほど難しいことではありません。
- 方法は多数ありますが,次にそのうちの1つを示します。
- 各種サービスごとに,サービスから連想される固有の文字列を決める。
- その文字列を(2)で作成した複雑で覚えやすいパスワードに付加する。
3-b. それでも覚えきれない場合はパスワード管理ソフトウェアで管理する方法もあります。
- 必要に応じて検索サイト等で探してみてください。
もし,他人にパスワードを知られてしまった場合は,直ちに次の対処を行い被害を最小限度にとどめてください。
- JAISTアカウントのパスワード変更を行う。
- パスワードを使いまわしている他サービスすべてのパスワードを変更する。