オンライン アカウントを保護し、パスワードがソーシャル エンジニアリング、ブルート フォース、または辞書攻撃による侵害から保護するには、次の点に注意することが重要です。
1. 複数の重要なアカウントに同じパスワード、秘密の質問、回答を使用しないでください。
2. 少なくとも 16 文字の長さで、1 つの数字、1 つの大文字、1 つの小文字、および 1 つの特殊記号を組み合わせたパスワードを使用してください。
3. 家族、友人、ペットの名前などの個人情報をパスワードに使用することは避けてください。
4. 郵便番号、番地、電話番号、生年月日、ID カード番号、社会保障番号などの個人を特定できる情報をパスワードに使用しないでください。
5. 辞書に載っている単語をパスワードに使用しないでください。
強力なパスワードの例: rtrsQgk*7~fgg' , rte4~6!3fsLKq(z{6r , zbfUMZPE6`FC%)sZ.
脆弱なパスワードの例: qwert12345, Gbt3fC79ZmMEFUFJ, 1234567890, 987654321, nortonpassword.
6. ilovefreshflowersMac、ilovefreshflowersDropBox など、ほとんどの文字が同じパスワードは使用しないでください。これらのパスワードの 1 つが侵害された場合、それはすべてのパスワードが盗まれたことを意味します。
7. 指紋など、変更できず、パスワードとして複製できるものは使用しないでください。
8. Web ブラウザー (Firefox、Chrome、Safari、Opera、Internet Explorer、Microsoft Edge) にパスワードを保存させないようにしてください。権限のない第三者がパスワードに簡単にアクセスできるためです。 Web ブラウザに保存されたすべてのパスワードは簡単に明らかになる可能性があるためです。
9. 他の人のコンピューターで、または公共の Wi-Fi ホットスポット、Tor、無料の VPN、または Web プロキシに接続しているときに、重要なアカウントにログインすることは避けてください。
10. 機密情報は簡単に傍受される可能性があるため、暗号化されていない接続 (HTTP や FTP など) を介してオンラインで送信することは避けてください。代わりに、可能な限り HTTPS、SFTP、FTPS、SMTPS、IPSec などの暗号化された接続を使用してください。
11. 旅行中、ラップトップ、タブレット、携帯電話、またはルーターから離れる前に、インターネット接続を暗号化できます。たとえば、自分のサーバー (自宅のコンピューター、専用サーバーまたは VPS ) に WireGuard (または IKEv2、OpenVPN、SSTP、L2TP over IPSec ) などのプロトコルを使用してプライベート VPN をセットアップし、それに接続できます。または、コンピューターと独自のサーバーの間に暗号化された SSH トンネルをセットアップし、Chrome または FireFox を構成してソックス プロキシを使用することもできます。そうすれば、誰かがあなたのデバイス (ラップトップ、iPhone、iPad など) とサーバーの間で送信されるデータをパケット スニファーで盗んだとしても、暗号化されたストリーミング データからデータとパスワードを盗むことはできません。
12. パスワードの安全性は?おそらく、自分のパスワードは非常に強力で、ハッキングされにくいと思っているでしょう。しかし、ハッカーが企業のサーバーからユーザー名とパスワードの MD5 ハッシュ値を盗み、ハッカーのレインボー テーブルにこの MD5 ハッシュが含まれている場合、パスワードはすぐに解読されます。
パスワードの強度を確認し、一般的なレインボー テーブルに含まれているかどうかを確認するには、MD5 ハッシュ ジェネレーターでパスワードを MD5 ハッシュに変換し、これらのハッシュをオンラインの MD5 復号化サービスに送信してパスワードを復号化します。たとえば、パスワードが「0123456789A」の場合、総当り法を使用すると、コンピューターがパスワードを解読するのにほぼ 1 年かかる場合がありますが、MD5 ハッシュ ( C8E7279CD035B23BB9C0F1F954DFF5B3 ) を MD5 復号化 Web サイトに送信して復号化すると、どのようにそれをクラックするのに時間がかかりますか?テストは自分で実行できます。
13. パスワードは 10 週間ごとに変更することをお勧めします。
14. いくつかのマスター パスワードを覚えておいて、他のパスワードをプレーン テキスト ファイルに保存し、このファイルを 7-Zip、GPG、または BitLocker などのディスク暗号化ソフトウェアで暗号化するか、パスワード管理ソフトウェアでパスワードを管理することをお勧めします。
15. パスワードを暗号化して別の場所にバックアップしておけば、コンピューターやアカウントにアクセスできなくなった場合でも、パスワードをすばやく取り戻すことができます。
16. 可能な限り 2 段階認証を有効にしてください。
17. 重要なパスワードをクラウドに保存しないでください。
18. ブックマークから重要な Web サイト (例: Paypal ) に直接アクセスします。それ以外の場合は、そのドメイン名を注意深く確認してください。パスワードを入力する前に、フィッシング サイトではないことを確認するために、Alexa ツールバーで Web サイトの人気を確認することをお勧めします。
19. ファイアウォールとウイルス対策ソフトウェアでコンピューターを保護し、すべての受信接続と不要な送信接続をファイアウォールでブロックします。信頼できるサイトからのみソフトウェアをダウンロードし、可能な限りインストール パッケージの MD5 / SHA1 / SHA256 チェックサムまたは GPG 署名を確認します。
20. お使いのデバイス (Windows PC、Mac PC、iPhone、iPad、Android など) のオペレーティング システム (Windows 7、Windows 10、Mac OS X、iOS、Linux など) と Web ブラウザー (FireFox、Chrome、IE、Microsoft Edge など) を保持します。タブレット) 最新のセキュリティ更新プログラムをインストールして最新の状態にします。
21. コンピューターに重要なファイルがあり、他のユーザーがアクセスできる場合は、必要に応じて、ハードウェア キーロガー (ワイヤレス キーボード スニファーなど)、ソフトウェア キーロガー、および隠しカメラがないかどうかを確認してください。
22. 家にWIFIルーターがある場合、指や手を動かすと受信したWIFI信号が変化するため、指や手のジェスチャーを検出することで、(隣人の家で)入力したパスワードを知ることができます。このような場合、オンスクリーン キーボードを使用してパスワードを入力できます。この仮想キーボード (またはソフト キーボード) が毎回レイアウトを変更すると、より安全になります。
23. コンピューターや携帯電話を離れるときは、ロックをかけてください。
24. 重要なファイルを配置する前に、VeraCrypt、FileVault、LUKS、または同様のツールを使用してハード ドライブ全体を暗号化し、必要に応じて古いデバイスのハード ドライブを物理的に破壊します。
25. プライベート モードまたはシークレット モードで重要な Web サイトにアクセスするか、1 つの Web ブラウザーを使用して重要な Web サイトにアクセスし、別の Web ブラウザーを使用して他のサイトにアクセスします。または、重要でない Web サイトにアクセスし、VMware、VirtualBox、または Parallels で作成された仮想マシン内に新しいソフトウェアをインストールします。
26. 少なくとも 3 つの異なるメール アドレスを使用し、最初のアドレスを使用して重要なサイトやアプリ (Paypal や Amazon など) からメールを受信し、2 番目のアドレスを使用して重要でないサイトやアプリからメールを受信し、3 番目のアドレスを (別のメール プロバイダーから) 使用します。 Outlook や GMail など) を使用して、最初のメール (Yahoo メールなど) がハッキングされたときにパスワード リセット メールを受信できるようにします。
27. 少なくとも 2 つの異なる電話番号を使用してください。確認コードのテキスト メッセージを受信するために使用する電話番号を他人に教えないでください。
28. これらのメッセージが偽物ではないことがわかっている場合を除いて、電子メールまたは SMS メッセージのリンクをクリックしたり、クリックしてパスワードをリセットしたりしないでください。
29. 電子メールでパスワードを誰にも教えないでください。
30. ダウンロードまたは更新したソフトウェアまたはアプリの 1 つがハッカーによって変更されている可能性があります。セキュリティ ホールを修正するために公開されている場合を除き、最初にこのソフトウェアまたはアプリをインストールしないことでこの問題を回避できます。代わりに、より安全で移植性の高い Web ベースのアプリを使用できます。
31. オンラインの貼り付けツールやスクリーン キャプチャ ツールを使用するときは注意してください。パスワードがクラウドにアップロードされないようにしてください。
32. あなたがウェブマスターである場合は、ユーザーのパスワード、秘密の質問と回答をプレーン テキストとしてデータベースに保存しないでください。代わりに、これらの文字列のソルト化された (SHA1、SHA256、または SHA512 ) ハッシュ値を保存する必要があります。
ユーザーごとに一意のランダムなソルト文字列を生成することをお勧めします。さらに、ユーザーのデバイス情報 (OS のバージョン、画面の解像度など) をログに記録し、それらのソルト付きハッシュ値を保存しておくことをお勧めします。情報が以前に保存されたものと一致しない場合、このユーザーは、SMS または電子メールで送信された別の確認コードを入力して本人確認を行うことができます。
33. ソフトウェア開発者は、GnuPG を使用して秘密鍵で署名された更新パッケージを公開し、以前に公開された公開鍵でその署名を検証する必要があります。
34. オンライン ビジネスを安全に保つには、独自のドメイン名を登録し、このドメイン名でメール アカウントを設定する必要があります。メール サーバーをどこにでもホストできるため、メール アカウントとすべての連絡先を失うことはありません。 、あなたのメール アカウントは、メール プロバイダーによって無効にすることはできません。
35. オンライン ショッピング サイトで支払いにクレジット カードしか使用できない場合は、代わりに仮想クレジット カードを使用する必要があります。
36. コンピューターを離れるときは Web ブラウザーを閉じてください。そうしないと、Cookie が小さな USB デバイスで簡単に傍受されてしまい、2 段階認証をバイパスして、他のコンピューターで盗まれた Cookie を使用してアカウントにログインする可能性があります。
37. Web ブラウザから不正な SSL 証明書を信用せず、削除してください。そうしないと、これらの証明書を使用する HTTPS 接続の機密性と完全性を確保できなくなります。
38. システム パーティション全体を暗号化します。それ以外の場合は、pagefile.sys および hiberfil.sys ファイルで重要なドキュメントを見つけることができるため、pagefile およびハイバネーション機能を無効にしてください。
39. 専用サーバー、VPS サーバー、またはクラウド サーバーへのブルート フォース ログイン攻撃を防ぐために、LFD (Login Failure Daemon) や Fail2Ban などの侵入検知および防止ソフトウェアをインストールできます。
40. 可能であれば、ローカル デバイスにソフトウェアをインストールする代わりに、クラウド ベースのソフトウェアを使用してください。悪意のあるアプリケーションをインストールしたり、デバイスに更新したりして、パスワードを盗み、極秘データにアクセスするサプライ チェーン攻撃がますます増えているためです。
41. コンピューター上のすべてのファイルの MD5 または SHA1 チェックサムを生成し (MD5Summer などのソフトウェアを使用)、結果を保存してから、ファイルの整合性をチェックし (バックドアが挿入されたトロイの木馬ファイルまたはプログラムを見つける)、毎日比較することをお勧めします。以前に保存された結果を含むチェックサム。
42. 各大企業は、人工知能ベースの侵入検知システム (ネットワーク動作異常検知ツールを含む) を実装して適用する必要があります。
43. 重要なサーバーやコンピューターへの接続またはログインを許可するのは、ホワイトリストに登録されている IP アドレスのみです。
Professional Web Development Services 複雑なパスワードも使用します。