短い複雑なパスワードを使用する代わりに長いパスフレーズの使用を検討してください。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭にある『パスワード』の話はこのブログでも何度か取り上げてきました。

では、『パスワード』の設定は何が望ましいのでしょうか？

FBIが勧めるパスワード設定

FBI（米連邦捜査局）が勧告している『パスワード』設定の根拠はNIST（米国立標準技術研究所）のガイドラインのようですが、それには大文字、小文字、または特殊文字（記号）を必要とせず、15文字以上の長いパスワード（パスフレーズ）を推奨するとされています。

これは、大文字、小文字、数字、特殊文字（記号）を使った『短いパスワード』よりはそうではない『長いパスフレーズ』の方が解読されにくいことを意味しているように思えます。

『パスワード』を複雑にし過ぎてしまうと『覚えにくい＝忘れてしまう』ということも多々あるため、覚えられる『パスフレーズ』を使った15文字以上の長い文字列を推奨しているのでしょう。

ただし、大文字、小文字、または特殊文字（記号）を使うなということではありません。

確率的に言えばそれらを混在させた方が良いとは言えます。

結果的に自分流の『法則』を作ってしまえば良いです。

FBI（米連邦捜査局）のサイトには以下のような例がありました。

『VoicesProtected2020WeAre』、『DirectorMonthLearnTruck』

このような例に加えて特殊文字（記号）を含めた『パスフレーズ』を作れば良いです。

ワードとワードの間に何かしらの特殊文字（記号）を入れるルールを自分で決めておけば良いです。

例えば、『Voices.Protected–2020@WeAre』といった感じに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先週『WordPress5.3.1リリース情報』の記事を投稿しましたが、それに続き『WordPress 5.3.2』が2週連続でリリースされました。

今日はそれをお伝えします。

WordPress 5.3.2 メンテナスリリース

前回の『WordPress 5.3.1』のリリース直後、いくつかの重要度の高いチケットが上がったため『WordPress 5.3.2』がクイックメンテナンスとしてリリースされました。

今回のリリースで対処された問題は以下の通りとなります。

・日付/時刻：get_feed_build_date（）が無効な日付の変更された投稿オブジェクトを正しく処理する変更。

・アップロード：大文字と小文字を区別しないファイルシステムで大文字の拡張子を持つファイルをアップロードするときのwp_unique_filename（）でのファイル名の衝突を修正。

・メディア：宛先ディレクトリが読み取れない場合のwp_unique_filename（）のPHP警告を修正。

・管理：.activeクラスを持つボタンのすべての配色の色を修正します。

・テスト/ビルドツール：wp_insert_post（）で、投稿日をチェックして将来のステータスまたは公開ステータスを設定するときに、適切なデルタ比較を使用する変更。

以上のようにWordPressの公式サイトには投稿されています。

前回に続きマイナーアップデートですから、そのままアップデート更新で良いでしょう。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨今のサイバー情勢においてパスワードに『123456』を使っているのであれば情報漏えいしてもやむを得ないと思いますが、逆に、情報漏えいしにくいパスワードを設定している人達はどのようなパスワードを設定しているのでしょうか？

米国ホワイトハッカーのパスワード

パスワードは12桁程度の文字数では10分程度で解読されてしまうと言われていますが、米国のホワイトハッカー達はその2倍程度のパスワードを設定しているとされています。

そして、この覚えられないくらい長さのパスワードは米国の政府職員においても行われていると言います。

彼らは『パスワード』を『パスワード』ではなく『パスフレーズ』としてパスワード設定を行っているとされており、『フレーズ化』されたものであればある程度長くても自分の決めたルールであれば普通に思い出せるということです。

これ、米国のホワイトハッカーの間では23桁以上の文字数であれば良いと言われているようで、『パスワード』を『フレーズ化』した『パスフレーズ』にして運用しているようです。

もちろん、いくつもそういった『パスフレーズ』を作っているわけではなく、利用するサービスごとに一定のルールを付与して運用しているようです。

この方法は日本語をローマ字にした場合にはさらに強固になり得ます。

英語で『TheFirstDogIsJohn』というパスワードを日本語でローマ字にした場合、『1BanmenoInuhaJohnDesu』といった感じになります。

『いち』という部分に数字を使ったり随所に大文字を混ぜているのも有効な方法で、『わ』ではなく『は』をローマ字にしているのもポイントです。

これに利用サービスの一部の文字と記号を混ぜてあげればかなり強固なものになります。

『Yaho@1BanmenoInuhaJohnDesu』や『Raku@1BanmenoInuhaJohnDesu』といった感じでのようにです。

とは言え、日本においてここまで行われるようになるのは遠い先の話しになるのかもしれません。

それだけセキュリティ意識の低さを感じています。

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、Wi-Fi（無線LAN）ルータにある機能で『SSIDステルス機能』というものをご存知でしょうか？

これ、セキュリティメーカーなどの解説を見ると『セキュリティ強度は上がらない。』と書かれていることがあったりしますが、それは全く意味がないということではありません。

ではどういう意味なのでしょうか？

Wi-Fiルータのステルス機能

『Wi-Fi（無線LAN）ルータのステルス機能は完全に秘匿できるのか？』と問われれば答えは『No』となります。

これは設計上の問題で、Wi-Fi（無線LAN）ルータのSSIDは常に電波に乗って通知されており、PCやスマートフォン、タブレットなどから”SSIDを入れて“接続を試みた場合はステルス機能が働いていても応答します。

ということは、完全には秘匿できていないことにはなります。

しかし、実際に接続するにはSSIDを知る必要があります。

ただし、周囲にどのようなSSIDが存在しているのかを調べることは技術的には出来てしまいますのでセキュリティ効果的に高いものとは言えないという意味になります。

ここを混同している場合が多いのではないでしょうか。

結論としては確率論の問題になりますので、むやみに公開しているよりは非公開にしておいた方が良いことは確かです。

従って、Wi-Fi（無線LAN）ルータのステルス機能は一定の効果はあるという答えになります。

また、認証方式には現状で最も強度の高い『WPA2』（WPA3はまだほとんど発売されていないため。）を採用し、暗号化方式にも『AES』を使い、パスフレーズもアルファベットの大文字・小文字、数字、記号を混在させた12文字以上のものを使うべきでしょう。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

皆さん、『1Gbps』と書かれているのと『1GBps』と書かれているのでは違いがあることをご存知でしょうか？

これはよくありがちな認識違いですが、今日はこの少々雑談的なことをお伝えします。

bpsとBpsは単位が違う

『bps』と『Bps』をパッと見た限りでは『b』と『B』、小文字か大文字の違いしかないので同じものだと思っている方も多いかもしれません。

しかし、これはちゃんと単位が違うものの表記です。

『bps』は『bits per second』、1秒間に何ビット転送できるかになり、『Bps（B/s）』は『Byte per second）』、1秒間に何バイト転送できるかを表しています。

また、『bits』と『Byte』は『8bits』＝『1Byte』、つまり『bps』の表記があった場合にそれを『Bps（B/s）』に変換すると8分の1になります。

例えば、光ファイバー回線業者のウェブサイトを見ると『1Gbps』という表記がありますが、これを変換すると『0.125GBps（125MBps）』ということです。

（※　十進法表記と二進法表記では異なりますので、『0.128GBps（128MBps）』という変換表示になることもあります。）

逆に、パソコンでデータを異なるハードディスクに転送しようとした場合、『1GB/秒（1GBps）』と表示されたりしますが、これをビットに変換すると8倍の『8Gbps』ということになります。

『ビット』と『バイト』の違い、ご理解いただけましたでしょうか？

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、連休明けの今日は再び注意喚起の記事投稿です。

先日の『楽天市場』をかたったものに続き、今回は『Amazon.co.jp』をかたったものが拡散している可能性があります。

Amazon.co.jpをかたる巧妙なスパム

『Amazon.co.jp』の偽物が拡散されることはよくあることではありますが、その内容は以前より巧妙になっているように思えます。

ここ数日あたりで拡散されているものもそうで、一瞬本物のAmazon.co.jpからのメールかと思わせる部分もあったりします。

件名：【Аmazon】■重要■ にご登録のアカウント（名前、パスワード、その他個人情報）の確認

内容例：

Аmazon お客様

残念ながら、あなたのアカウント Аmazon を更新できませんでした。
これは、カードが期限切れになったか。請求先住所が変更されたなど、さまざまな理由で発生する可能性があります。

アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため Аmazon 情報を確認する必要・ェあります。今アカウントを確認できます。

Аmazon ログイン

なお、24時間以内にご確認がない場合、誠に遺憾ながら、アカウントをロックさせていただくことを警告いたします。

アカウントに登録のEメールアドレスにアクセスできない場合
お問い合わせ： Amazonカスタマーサービス。

お知らせ:
・パスワードは誰にも教えないでください。
・個人情報と関係がなく、推測しにくいパスワードを作成してください。大文字と小文字、数字、および記号を必ず使用してください。
・オンラインアカウントごとに、異なるパスワードを使用してください。

どうぞよろしくお願いいたします。
Аmazon

このような感じのものが拡散されています。

しかし、よく見ると誤字があったり、通常使われない言い回しがあったりしています。

この中で惑わされやすいのは『Amazon ログイン』の部分で、ここには偽サイトへの誘導リンクが張られています。

リンクURL：『https://www.amazon.co.jp.update.blue/www.amazon.co.jp/account-update』

※　間違ってもこのURLに移動しないでください。

これ、よく見るとドメインは『.blue』であり、正規の『Amazon.co.jp』ではないことがわかりますが、ぱっと見は間違えてしまう可能性があります。

皆さん、くれぐれもお気を付けください。

しかし、これに対して『パスワードの定期的な変更は不要』という考え方に変化してきています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

総務省の『国民のための情報セキュリティサイト』にある、『IDとパスワード　設定と管理の在り方』を紹介するページでは、『パスワードを複数のサービスで使い回さない（定期的な変更は不要）』という文言が出てきます。

これは以前の考え方から変化していますが、何故そのように変化したのでしょうか？

パスワードの定期的な変更は不要

一部のインターネット記事を見ると、これはNISC（内閣サイバーセキュリティセンター）の見解を受けて変更されたようです。

しかし、NISCも他での見解を受けて方針を変更したのではないでしょうか？

約1年程前、米政府機関である『NIST（National Institute of Standards and Technology/アメリカ国立標準技術研究所』が発行する『電子認証に関するガイドライン』の新版からルールを変更するとされていました。

（参考：電子的認証に関するガイドライン by NIST）

これは、ユーザーに新しいパスワードへの変更を求めてもいい加減に作る傾向にあり、特別な理由がない限りはパスワード変更を求めるべきではないという考え方が専門家の間でも増えてきたこともあります。

また、NISTでは定期的なパスワード変更を止める代わりとして、最低64文字でスペースも入れられる『パスフレーズ』を推奨するとしています。

では、パスワード設定はどのように行うか？

パスワード生成を自動で行ってくれるツールを使うと良いです。

このようなものを使えば、個人に関連する情報が一切含まれず、英字の大文字・小文字、数字、記号、文字数、強度などを選択しながらパスワード生成を行うことができますので、非常に解読されにくいものであると言えます。

（参考：パスワードジェネレータ/Norton by Symantec）

そして、これを適切に管理さえしていれば、推測されやすいパスワードの定期的な変更よりも適切なものであると言えるでしょう。