こんにちは、ヌーラボアカウントチームです。
昨年12月ヌーラボアカウントは大規模なパスワードリスト型攻撃を受けました。詳細は「IDとパスワードの使いまわしによる不正アクセスにご注意ください」 を参照ください。
対策のひとつとして、ヌーラボアカウントに登録されたパスワードに対するセキュリティを強化します。この対策はアメリカ国立標準技術研究所 (以下、NIST)のガイドラインを参考にしました。
本日より、新規アカウント作成、パスワード変更の際に、次の条件のいずれかに当てはまるパスワードを設定できないようにします。
- よく使われるパスワード、辞書にのっている単語、繰り返しや連続。技術の解説は「真のパスワード強度を測定する5つのアルゴリズム」を参考にしてください 。
- 他サービスで過去に漏洩したと判断したもの。
また、ログインする時に入力したパスワードが、過去に他のサービスなどで漏洩した可能性があるパスワードかどうかをチェックするようになります。あなたのパスワードが漏洩した可能性がある場合は、パスワードの変更を促す警告を表示します。
さらに、ヌーラボのおすすめするパスワードのルールを「他のサービスで使いまわしていない、できるだけ長い12文字以上のもの」に変更します。より安全なパスワードを設定するにあたり、パスワードマネージャーの利用もご検討ください。
変更の背景
NIST は電子認証に関するガイドラインで、次のような文字列をパスワードとして受け付けず、別のものを使うよう促すべきと勧告しています。
- 過去に漏洩したもの
- 辞書に載っている単語
- 繰り返しや順番になっているもの。たとえば aaaaaa や 1234abcd
- ユーザー名やサービス名から推測されるもの
パスワードのルールに関しては、複雑なパスワード(大文字小文字、数字、記号を組み合わせること)の推奨を削除しました。理由として、サイトごとに複雑なパスワードを考えることはユーザーの負担となり、先頭を大文字とし数字と記号を足しただけの簡単なパスワードを使う動機になってしまうためです。NISTはこのような簡単なパスワードの事例として「Password1!」をあげています。
ヌーラボでは、これまでもパスワードの設定の際にパスワードの強度を表示していました。しかし強度の弱い安全でないパスワードで登録できてしまうという課題がありました。加えて、過去に漏洩したパスワードかのチェックはしていませんでした。
そこで、ヌーラボでは、パスワードについて以前おすすめしていた「8文字以上。大文字や小文字、数字、記号を組み合わせた物」を見直し、「他のサービスで使いまわしていない、できるだけ長い12文字以上のもの」に変更します。短いパスワードよりも長いパスワードを設定することで、パスワード認証に対する攻撃が成功する可能性を下げることが期待されます。脆弱なパスワード、他サービスで過去に漏洩したものはパスワードの設定時にチェックするため、複雑なパスワードで悩む必要はありません。
あらためて2段階認証の設定をお願いします
今回の変更で強化されるパスワード認証だけではアカウントのセキュリティ対策として十分ではありません。ヌーラボのサービスを安全に利用するために、あわせて2段階認証の設定をお願いします。設定の方法は「2段階認証の設定」 をご確認ください。
最後に
ヌーラボアカウントチームはみなさまに安心してご利用いただけるよう引き続きセキュリティ対策の強化を行ってまいります。