コンピュータは個人を認証するのにパスワードを用いています。
このパスワードが漏洩してしまうと他人がなりすましてPCにログインできてしまいます。
最近ではバイオメトリックスといって、人体の一部(指紋など)を認証に用いるシステムもありますが、まだまだ数は多くないです。また、バイオメトリックスは他の認証(物理的な鍵など)とあわせて用いられることが多いようです。これは、バイオメトリックス自体にまだ多くの人が信頼を置ききっていない点や実際鍵を持つという安心感からあわせて持つことが多いようです。
考えうる全ての文字列を順次試していく方法です。考えうる文字列に数字を追加したり、アルファベットを追加したりしてパスワードを推測していきます。テクニックは必要なく、aから順番に当てはめていけば数年かかるかもしれませんがクラックはできるでしょう。
辞書を用いる方法です。aから順番に当てはめていく代わりに辞書となるファイルから単語を読み込んで順次試していきます。
コンピュータ利用者がパスワードを打つのを肩越しに見てパスワードを得る方法です。ソーシャルエンジニアリングのひとつとされています。
snifferを利用してネットワーク上を流れるパケットを取得し、そのパケットからパスワードを得る方法です。最近はパケットを暗号化する場合も多いので完璧に取得できるわけではありませんが、まだまだパスワードを得られる機会は多いでしょう。
IPv6では標準でパケットを暗号化しますが、暗号化されていても解析ツールを使って復号化される可能性がありますので、安心はできません。
テンペストとは、コンピュータのモニターから発せられる電磁場を盗聴する機械です。対象のモニターにどのような画像が映し出されているかを手元のモニターに表示させることができます。数百メートルの位置からでもキャプチャーできるそうです。
直接パスワードが書かれているファイルを盗む方法です。バックアップメディアやパスワード管理用のテキストファイル、はてはディスプレイに貼ったパスワードのメモまでが含まれます。また、バックアップメディアは無造作に置かれていることが多いため、盗用にはうってつけです。
タイプしたキーをロギング(記録)するプログラムを対象のコンピュータに仕掛け、しばらくしてからログファイルを回収する方法です。キーロガーにもソフトウェアロガーとハードウェアロガーがあります。
キーロガーの変種として、パスワードを入力するときのキーを叩く音を録音し、音の大きさや音が流れてくる方向から叩かれたキーを解析する機器も存在するようです。
上記のショルダーサーフでも触れた、物理的なハッキングを用いる方法です。例えばネットワーク管理者と身分を偽称し、パスワードを聞き出すなどが挙げられます。人間性という究極のセキュリティホールをついての攻撃なので、完全に防ぐのは難しいでしょう。
文字長は最低でも6文字以上であること。
アルファベットの小文字と大文字を混ぜて構成されていること。
記号、数字が含まれていること。
パスワードクラッカーの中にはスペースを入力できない物もあるため、スペースを入れるのも良い。
辞書に載っているような単語は長い単語であっても避けること。
例)interdependent、 authorization など
人物名(特に家族やペットの名前)や、それをもじった物は避けること。
Nullパスワード(パスワード無し)やjowパスワード(パスワードとユーザ名とが一緒)などは避けること。
組織名(苗字や大学、企業名)と同じか、それをもじった物は避けること。
非常に規則的なものや当て字、略語は避けること。
例)abcdefg、 qwert、 31173←(elite)など
上記に沿ったパスワードを使う。
パスワードを定期的に変える。
一定期間以内にパスワードを変えないアカウントを凍結させる。
管理者が定期的にユーザのアカウントにパスワードクラックを試みる。
バックアップメディアの管理を怠らない。
ディスプレイにメモして貼らない。
パスワードは他人に教えない。
管理者と名乗るものがパスワードを求めてきたら、まず疑う。
パスワードの重要さを知る。
使っているパスワードを全て同じものにしない(芋ずる式に全てのアカウントをクラックされないため)。
神に祈る。(ノーー)ノ†