辻さんの連載、リスト型攻撃の件。

4月から断続的に発生している「リスト型攻撃」の被害増大を受けて、「リスト型攻撃」とはどういったものかを実際の手法を交えて紹介し、複数のサービスで同一のパスワードを使い回すことの危険性とその対策について解説させていただいた。あれから3カ月ほど経過したわけだが、まだ被害は後を絶たない。
実は筆者には、前回の記事を書きながら漠然と考えていたこと（その片りんは記事中にもあったのだが）があった。それから3カ月たったいま、それが現実のものとなりつつある気がしている。
今回は、皆さんにも一緒に考えていただくために、そのぼんやりとした考えを整理した結果を書き記したい。

もしかしたらって距離は平行線 一番大事な不正ログイン対策 (1/2)：セキュリティ・ダークナイト（13） - ＠IT

では、アプリではなく、何らかのサービスを利用する立場には何が求められるだろうか。今までもたびたび記事に書いてきたとおり、「単純なパスワードをやめる」「パスワードの使い回しをやめる」ことに取り組んでいただきたい、それに尽きる。加えて、「セキュリティを実現する上で自分たちも一部であり、重要な役割を担っている」という意識も持っていただきたいと、筆者は強く願っている。

もしかしたらって距離は平行線 一番大事な不正ログイン対策 (2/2)：セキュリティ・ダークナイト（13） - ＠IT

可能であれば、多要素、多段階認証やリスクベース認証などを導入するのが望ましい。しかし先にも述べたとおり、時間やコストといったリソース面の兼ね合いで導入できないという場面もあるだろう。
しかし、それ以外にも行えることはあると筆者は考えている。具体的には、

• 設定可能なパスワード文字長を長くする
• 設定可能なパスワード文字種（記号などを使えるように）を増やす
• 単純なパスワードを設定できないようにする
• 極端な試行に対してはアカウントロックを行う（注4）
• 定期的なパスワード変更を求めない

などである。

もしかしたらって距離は平行線 一番大事な不正ログイン対策 (2/2)：セキュリティ・ダークナイト（13） - ＠IT