|
今回から毎週金曜日に計5回、セキュリティの初歩の初歩についての新連載をお届けします。最近「セキュリティ」についてよく耳にします。もちろんプロバイダーやシステム管理者がやるべきこともありますが、まずはその前に身近なところで、自分のセキュリティから見直してみましょう。この新連載では、セキュリティを守るために、知っておいたほうがいいこと、自分でできる対策などを解説します。(編集部)
自分の名前や誕生日、電話番号などをパスワードに使っている人は意外と多いが、これはやめよう。やはり、パスワードは人が予想できないような文字列にするのが基本だ。
パスワードには、アルファベットのほかに、数字(0~9)、記号(#!%&+-?!など)、大文字小文字を利用できるのをご存知だろうか。そこでこれらアルファベット・数字・記号を取り混ぜてパスワードを付けよう。利用する文字の種類を多くすれば、組み合わせの数が複雑になり、解読される確率が低くなるからだ。ニフティサーブなど、最近では、この3種類を組み合わせないと設定できなくなっているところもある。とはいっても、自分が覚えられないような複雑なパスワードをつけてしまい、デスクトップの付箋やファイルなどで残しておくなんてことは厳禁だ。
また、好きなタレントの名前やキャラクターの名前、辞書に掲載されている単語などは付けてはならない。これらの「単語リスト」と、専用のプログラムを使って、クラッカーたちはパスワードをクラックしているのだ。
企業や学校では、ユーザIDとパスワードを与えられたまま使っている人もいるかもしれない。この場合は各自変更してもらうことを前提としているので、解りやすいパスワードが付いていることが多い。心当たりのある人は、すぐにでもパスワードを変更するべきだ。
また、長い間同じパスワードを利用していると、やはり解読される確率が高くなる。定期的にパスワードを変更しよう。なお、変更するときには、さらにその前に使っていたパスワードを再利用するのは禁物だ。
プロバイダー以外にも、WWW上の会員サービスなど、ユーザーIDとパスワードを必要とするところは多い。それらをすべて同じパスワードにしておくと、どこか一カ所のパスワードが漏れたとき、そのほかのところでも利用できてしまう。すべて違うものを利用するのがベストだが、やはり面倒なもの。せめて、IDとパスワードで買い物ができる決済サービスやプロバイダーのパスワードと、誰が管理しているかわからない一般のWWW上の会員サービスはパスワードを別にしよう。
銀行などと同じで、インターネットでも電話や電子メールでパスワードを聞いてくるということはまずない。もし問い合わせがあった場合には、こちらから担当者を聞いて、電話をかけ直そう。
企業や大学のコンピュータに入るための専用電話の番号は、パスワード同様に扱いには注意しよう。外部(インターネット)からの攻撃に対してはファイアウォールなどで対策してあっても、内部(イントラネット)は比較的セキュリティが甘いことが多いため、内部に直接接続できる専用電話が一度突破されると影響は大きい。利用する人以外に専用電話番号は教えてはならない。
('98/2/6)
[Reported by 小林千寿 / 坂本純子]