今回の記事では、最初にパスワード設定の方法と手順を記載し、次の項目以降に、3種類のパスワードで強化する具体的な方法を記述しました。
ここの設定は、第一防御線(ライン)とも言うべき、大事な防御線ですからシッカリ設定しましょう。
文末では、パスワードの推奨桁数なども記載しました。
wordpressログイン画面に、乱数、日本語、そして乱数プラス日本語の3種類のパスワード等を使用することによって、パスワードは強化され、ハッキングからの脅威に対し、大幅に対抗力が増します。
ハッキングの経路は様々で、また、対策ソフトも、様々なものが開発されています。
ハッキングに対して「完全な対策」はありませんが、パスワードを強化することによって、ハッキング対策の敷居を高くすることはできます。
wordpressのパスワード等は、推測されにくい文字などの組み合わせ、また、適正な時期に再設定することが推奨されています。
passwordとは、passが合格、通過。wordは言葉。の意味で、passwordと言った場合は、システム等に入る合言葉などの意味になります。
古くは、「開けゴマ」の合言葉と同時に岩の扉が開く、「オープンセサミ、Open Sesame」(パスワード)があります。この物語は『千夜一夜物語』(アラビアンナイト)等にあります。
また、日本国内では、赤穂浪士の吉良邸討ち入りのときに、「山」と「川」の合い言葉(パスワード)を使ったとされています。
これらを踏まえて、今回は、乱数、日本語、そして乱数プラス日本語の3種類の文字列を使う理由や手順について記事化します。
wordpressログイン画面!3種類のパスワードで強化する。パスワード設定の方法と手順
まず、wordpressのダッシュボードにログインします。⇒ユーザーをクリックします。⇒ユーザーの一覧をクリックします。⇒画面をスクロールすると、下の方に新しいパスワード=新しいパスワード設定ボタンが表示されます。
この新しいパスワードが表示された段階で、最後に、プロフィールを更新ボタンをクリックして完了です。
wordpressログイン画面!3種類のパスワードで強化する。コンピュータ攻撃に使用される言語は英語がメイン
ハッキング等は、メインの攻撃は英語によって行われます。
攻撃を行う国は英語を母国語として使用する国々ではありませんが、それでも、英語が使用されて攻撃されることは間違いありません。
英語が使用される理由は、基本的に各種のコンピューター言語やhtmlやコードは、英語(英単語)で意味を成すように構成されています。
したがって、コンピュータのパスワード等は、基本的には、英語で作られています。
例えば、wordpressに初期設定されているパスワードは、admin(adimin)=管理者です。
このように、英語(派生語を含む)は頻出しますが、日本語は、どこにも出てきません。
英語は人が生活する上で必要なグローバルランゲージであるとともに、コンピューター言語に使用されるグローバルランゲージでもあります。
つまり、コンピュータに攻撃を仕掛ける人々にとっても、英語は欠かせない武器なのです。
wordpressログイン画面!3種類のパスワードで強化する。日本語を採用する理由
サイト(ブログ)の内容が日本語で書かれていても、海外(世界中)からアクセスが来ます。
この中で、パスワード攻撃を行ってくる方は、英語で攻撃してきます。
もちろん、日本国内にも悪い人々は沢山いますが、それでも、全世界からみたら少数です。
したがって、第1撃をかわすために、英語ではなく日本語の使用をおすすめします。
英語ではなかったら何語でも良いのかという疑問が起きますが、英語以外の何語でもOKです。
しかし、キーボードも日本語以外のキーボード(何語専用のキーボード)を購入したり、シールを貼って使用したりしなくてはいけないので、諸条件を考えると現状では、英語ではなく日本語の使用をおすすめします。
各国の言語専用のキーボードを見ていただくと即分かりますが、英語のアルファベットはどこの言語のキーボードにも、印字されています。このアルファベットの他に各言語の文字がアルファベットのキー上に印字されて、使用しています。
例えば、日本語のキーボードでは、Gのキー左下に「き」の表示をさせたり、Lでは左下に「り」の表示をさせています。
要するに、このアルファベットはどこの国の言語であろうとも、必ず、キーボードのキーの右上または中央に印字されています。左下の各国の言語は使いません。攻撃に使用するのは右上または中央に印字されたアルファベットを使用します。
この右または中央に印字されたアルファベットは英語を構成するのにとても便利な文字で、これを組み合わせて英語の単語を作り、攻撃を仕掛けます。
wordpressログイン画面!3種類のパスワードで強化する。パスワードは流通していない死語がおすすめ
開けゴマのパスワードと同時に岩の扉が開きます。オープンセサミ、Open Sesameは、『千夜一夜物語』(アラビアンナイト)の1篇とされる「アリババと40人の盗賊」に出てきます。
オープンセサミは、物語のパスワードとしては、古今東西知らない人はいないくらい有名なものとなりました。
しかし、ブログ(サイト)のパスワードは、オープンセサミのように誰もが知っている言葉ではなく、誰も知らない、かつ、自分だけが知っている言葉を選びます。
誰も知らないことば。色々ありますが、現在、一般に使用されていないことばを使うことは有効です。
例えば、珍しい姓や、廃村になった地名等があります。
そのほかには、例えば、あくまでも1例ですが、死語を使用すること。
死語の活用ですが、死語とは賞味期限が切れて、一般には使用されていない言葉です。
したがって、通常は使用している人間は少ないか、または、皆無です。
例えば、小さい頃両親に初めて買ってもらった玩具(おもちゃ)が鉄人28号だったとします。
既に鉄人28号自体は死語になっていますが、これをtetujinhutajyuhatigou等に変えると、基本的に誰も知らない、かつ、今は死語になっていて、自分だけが知っているパスワード等に変化します。
そして、小さい頃、初めて両親に買ってもらったという思い出から、忘れ難いパスワード等に変化します。
tetujinnjyuhatigouのように、「にじゅうはちごう」としないで、「ふたじゅうはちごう」の方がベターです。
そして、tetujinhutajyuhatigouを前後に2分割(3分割してもOKです。)して、jyuhatigou-tetujinhuta等とすれば、もはや、何の言葉(記号)なのかわからなくなってしまいます。
そして、誰も知らないパスワードに変化します。「誰も知らない」ということは、1度決めたパスワードは、絶対に他人に口外しないということです。
wordpressログイン画面!3種類のパスワードで強化する。乱数もプラスしてください。おすすめします。
パスワード等を強化する方法で乱数(乱数)を使用します。乱数とは古くは軍隊が暗号を作成、また、解読する際に多用していた数字等の列です。
乱数自体は、基本的には一定の規則性を持たないことから、ハッキングする側の方からしてみても、この乱数を使用した際のパスワード等を解読して、同一の乱数を使用したパスワード等を作製して、wordpressに侵入することは、敷居が高いと言われています。
下記画像は、wordpressが作り出した乱数です。
下記に乱数を使用してパスワード等を作成した際のメリットとデメリットを記載します。
メリットは2つです。
1つ目のメリットですが、ハッキングされにくい数字や英語の組み合わせで、長くなればなるほど、安全性は高くなります。
2つ目のメリットですが、wordpressに初期設定されていますので、最も簡単に、かつ、迅速にパスワード等を強化する方法です。
デメリットは1つです。
乱数は機械語(パソコン)が作り出した人造語ですので、人間が乱数を認識することは、ほぼ困難です。
したがって、パソコンに記憶させるか、また、人間が紙などに書いて、パスワード等を保管(保存)する必要があります。
wordpressログイン画面!3種類のパスワードで強化する。乱数プラス日本語を使用し合体させる
パソコンやスマートフォンがハッキングされる、主な侵入経路は下記の5つです。
1.半導体関連のバックドアからの侵入⇒パソコンやスマートフォン等の半導体を自分で作ることは、不可能です。したがって、製造会社を信用し、かつ、他の方法でハッキング対策を構築する以外にありません。
2.OS(Windows10)からの侵入⇒パソコンやスマートフォン等のWindows10やアンドロイド等のOSを自分で作ることは、不可能です。したがって、OS会社を信用し、かつ、他の方法でハッキング対策を構築する以外にありません。
3.サーバー会社からの侵入⇒巨大なサーバーシステムを自分で作ることは、不可能です。したがって、サーバー会社を信用し、かつ、他の方法でハッキング対策を構築する以外にありません。
4.メールからの侵入⇒怪しげなメールは、開封厳禁なことは当然ですが、基本的に、メールソフト設定の段階で、即、ゴミ箱行きになっていればOKです。
5.wordpressログイン画面からの侵入⇒ここは、個人レベルで強化できます。そして、各家の玄関のドアのカギに相当するログイン画面が設定されています。
上記の対策中、5番目のログイン画面のパスワードを強力にすることが、最も現実的で、かつ、即、実行可能なディフェンス策であることが分かります。
そして、上記から明らかになったことは、日本語プラス乱数の組み合わせです。グローバルランゲージではない日本語であり、かつ、ほとんど使用されていない日本語。
他人が知らないで、自分だけが知っている言葉。単純な言葉でOKです。これをさらに組み替えします。
また、その日本語プラスwordpressに初期設定されている乱数の組み合わせです。
パスワード等の設定に関しては、万全ということはあり得ないことだと思います。
しかし、敷居を高くすることは、簡単で、かつ、ブログやサイト管理者がとれる数少ない防御方法の1つです。
時々でOKですので、パスワード等の見直しをおすすめします。
wordpressログイン画面!3種類のパスワードで強化する。パスワード等を忘れてしまった場合
パスワード等の保存(保管)したパソコンを買い替えた、また、何らかの原因でパスワードそのものが忘れてしまった。あるいは分からなくなってしまった場合は、下記の方法で、ログインが可能になります。
パスワード等を失念したなどということはこのネットワーク社会では、基本的には、想定内のできごとです。
要するに、人間は忘れる、また、失くしてしまうということは日常起きうることなのです。
つまり、前に設定したパスワード等が、分からない、また、見つからなくなっても全然OKです。
こういった事態に備えて、サーバー会社、通販サイトなどは、ログイン画面の下のところに、パスワードをお忘れですか?というリンクを設定しています。
このリンクをクリックすると、パスワード再設定の画面が表示されます。
指示通りユーザー名か、登録してあるメールアドレスを入力すると、登録してあるメールアドレスに、再設定用のメールが届きます。
あとはそこからパスワードを再設定すればOKです。
要するに、初期設定入力時のメールアドレス所持者=サイトの所有者なのです。
クレジットカードや銀行カードと同様です。クレジットカード等の所有者(暗証番号所有者)=本人です。
したがって、このメールアドレスは、大切に、かつ、あまりオープンにしない方が良いかもしれません。
Gメールでも何でもOKですので、パスワード設定と紐づけしたメールアドレスが1個あれば好ましいと思います。
wordpressログイン画面!ログインとは「割って入る」こと。
パソコン等でログインする際の「ログイン」という意味は、パソコンを通じてサーバー会社を経由して、世界中の通信網に割って入ることです。
もちろん、パソコン等をスタンドアローン(独立)して、情報処理機械として、使用している場合も少なくないですが、上記を中心に話を進めます。
スタンドアローンの機器は、原則的には外部からの攻撃には、晒されていません。スタンドアローンの機器は外部との接触がないので、スタンドアローンで危険なのは主に内部での情報管理ミスです。
このことから、主に外部とのやり取りを行うパソコンやサーバーの機器については、セキュリティ(安全、防犯)管理が重要となりました。
特にパソコンやサーバー等を外部からの攻撃から守るためには、特定のログイン情報を持つ者だけにパソコンを通じてサーバー等の機器を使用することを許可しました。
wordpressログイン画面!パソコンのログインには「権利」と「義務」の2つの役目があります。
パソコンのログインには「権利」と「義務」の2つの役目があります。
1つ目は、パソコンにログインするとサーバー会社との契約や法令遵守のもとで、パソコンやサーバーを自由に使える「権利」がユーザーに付与されます。
他方、2つ目はログインの言葉のベースになった、パソコンやサーバーなどを自由に使った記録を残す「義務」がユーザーに課されます。通常、ユーザーが履歴や検索履歴を削除しても、ユーザーの使用したパソコンへの出入りや、使用記録はサーバー会社の機器に全て保存されています。
スマートフォンなどの使用記録も同様です。
パソコンなどには使用履歴などが自動的に記録され、特定の場合にはサーバー会社から提出される、そのパソコンの使用状況などが裁判などで有力な挙証能力をもつとされています。
wordpressログイン画面!ログデータ(log data)に割って入る。log in
パソコンはパーソナルコンピューター(Personal Computer)を略した言葉です。当初パソコンは、データを処理する機械として登場しましたが、インターネット等の登場によりデータ処理機能と併せて、情報受発信機能も持つようになりました。この情報受発信機能をもつことによって、いつ、誰が、どのようにして、等というlog記録が重要になってきました。
要するに、そのパソコンやスマートフォンをどこで使用したのか、どのくらいの時間使用したのか(6W1H)等です。
このパソコンなどの使用履歴などのことを一般的にログデータ(log data)と言います。
このログデータ(log data)は、パソコンの持ち主の意思とは無関係に、記録されていきます。
LOG(ログ)自体の元の意味は、ログハウス(丸太小屋)とか航海日誌(log book)の意味で、昔から使用されていました。
航海日誌(log book)にログという単語が使われているのは、丸太(ログ)で速度や航海距離を計測していた頃の名残りです。
昔は、GPSもドップラーも無かったので、ハンドログ(hand log)というものを海に投げ込んで、約1.8キロ≒1,852メートル(1海里)を測定していました。
そのほかに、3点方位法や4点方位法あるいは六分儀などもありましたが、ハンドログ(hand log)は複雑な計算が不要なので、1日の航行距離(船が走った距離)を締めくくるのには適役でした。
航海日誌は、どんなことがあっても1日にあったことを必ず書きます。この1日にあったできごとの中で、1日の航行距離は、航海日誌の中で重要でしたので、丸太を使用した航行距離を記載した航海日誌(logbook)=丸太の本となります。
この航海日誌(logbook)は、ログデータ(log data)に派生します。そして、このログデータ(log data)等の記録に、パスワードなどを使用して、パソコン等の機械を使って割って入るのでログイン(log in)です。
アメリカ大陸を発見した、クリストファー・コロンブスは、毎日、書くことを定められた航海日誌に、書くことがなくなってしまい、自分自身を鼓舞するために「今日も航海を続けた」と書きました。
どれくらいの距離を走ったのか、また、今日1日なにをしたのか。その記録である航海日誌(logbook)、またログデータ(log data)はとても重要なことだったのです。これらの記録(log)にインするので、ログイン(log in)です。
wordpressログイン画面!3種類のパスワードで強化する。パスワード等はWindows10のエッジに保管されている
wordpressやアマゾンなどのログイン時に必要なパスワード等は、下記画像のように保管されています。
Windows10でもグーグルでもOKですので、右上の・・・をクリックすると下の方に、設定(歯車マーク)が出てきますので歯車マークをクリックして、さらに、パスワードをクリックすると今までの様々なパスワード設定してきたものが出てきます。
各パスワードの右端に目のマークが出てきますので、この横の「その他のアクション」の中の、パスワードのコピー、削除、編集コマンドを使用することができます。
なお、必要に応じて、保存されたパスワード⇒パスワードのエクスポートも行えます。
wordpressのパスワード等は、3種類のパスワードで強化しつつ、最低限8桁以上10桁で補強する。
現在の最新パソコンの処理能力でもパスワードを解読するための計算が何千年もかかるのであれば、それは解読できないことと同一であると考えられます。したがって、一般的にはパスワードに使用する文字の種類を多くしたり、桁数を大きくしたりすれば、強い(破られにくい)パスワードであるということがいえます。
仮に1例を挙げるとすれば、英字(大文字、小文字区別有)+数字+記号のケースでは、93文字使用できる場合に4桁では約9分、6桁では約54日、8桁では約1千年、10桁では約1千万年必要とのレポートが出されています。
※すべての組み合わせを試すために必要な時間を計算。記号は31文字使用できるものとしています。使用パソコンのOS:Windows Vista Business 32bit版、プロセッサ:Intel Core 2 Duo T7200 2.00GHz、メモリ:3GB
なお、上記のようにパスワードの桁数(文字数)は多ければ多いほど良いのですが、様々なものを組み合わせて、ハッキング対策としてのパスワードを作ってください。
詳細は、独立行政法人IPA情報処理推進機構の下記のリンクからご覧ください。
蛇足ですが、攻撃側がスーパーコンピューター等を使用して、個人的なブログ(サイト)のパソコンを攻撃するなどの、牛刀鶏を割くなどは、基本的に考慮しなくてOKだと思います。攻撃する理由が見つからない。また、コストパフォーマンスに見合わないです。さらに、攻撃する側には得るものが何もないのです。
攻撃する側(ハッキングする側)からみたら時間やコスト(お金)の無駄遣いです。
ただし、ブログ(サイト)の管理者は、万が一のことを考えて、Xサーバーのバックアップ以外にも、個人のパソコンや外付けハードディスク等に、必ず、バックアップをとるようにしてください。
バックアップさえあれば、必ず、バックアップ時点に復元できます。
