ソーシャルエンジニアリングやブルートフォース、辞書攻撃の手法でパスワードがハッキングされるのを防ぎ、オンラインアカウントを安全に保つためには、次のことに気づく必要があります:

1. 複数の重要なアカウントで同じパスワード、セキュリティの質問と回答を使用しないでください。

2.16文字以上のパスワードを使用し、数字、大文字、小文字、特殊記号を1つ以上使用してください。

3.パスワードに家族、友人、ペットの名前を使用しないでください。

4.パスワードには、郵便番号、家番号、電話番号、生年月日、IDカード番号、社会保障番号などを使用しないでください。

5. パスワードに辞書の単語を使用しないでください。 強いパスワードの例: ePYHc~dS*)8$+V-' , qzRtC{6rXN3NR\gL , zbfUMZPE6`FC%)sZ. 弱いパスワードの例: qwert12345, Gbt3fC79ZmMEFUFJ, 1234567890, 987654321, nortonpassword。

6. 例えば ilovefreshflowersMac, ilovefreshflowersDropBox のように、ほとんどの文字が同じである類似したパスワードを 2 つ以上使用しないでください。

7. クローン化できるもの（変更できないもの）を、指紋などのパスワードに使用しないでください。

8. Webブラウザ（FireFox, Chrome, Safari, Opera, IE）にパスワードを保存させないでください。

9. 他人のパソコンで重要なアカウントにログインしたり、公共のWi-Fiホットスポット、Tor、無料VPN、Webプロキシに接続している場合は、ログインしないでください。

10. 暗号化されていない(HTTP や FTP など)接続で機密情報をオンラインで送信しないでください。可能な限り、HTTPS、SFTP、FTPS、SMTPS、IPSec などの暗号化された接続を使用してください。

11. 旅先では、ノートパソコン、タブレット、携帯電話、ルーターから出る前にインターネット接続を暗号化することができます。例えば、自分のサーバー(自宅のコンピュータ、専用サーバー、VPS)にプライベートVPN(MS-CHAP v2またはより強力なプロトコルを使用)をセットアップして接続することができます。あるいは、ルータと自宅のコンピュータ(または自宅のリモートサーバ)の間に暗号化されたSSHトンネルをPuTTYで設定して、プログラム(例：FireFox)をPuTTYに接続することもできます。そうすれば、あなたのデバイス(ラップトップ、iPhone、iPadなど)とサーバ間で送信されるデータをパケットスニッファーで誰かがキャプチャしたとしても、暗号化されたストリーミングデータからあなたのデータやパスワードを盗むことはできません。

12. 私のパスワードはどのように安全ですか？おそらく、あなたは自分のパスワードは非常に強く、ハッキングされにくいものだと思っているでしょう。しかし、ハッカーがあなたのユーザー名とパスワードのMD5ハッシュ値を会社のサーバーから盗み出し、ハッカーのレインボーテーブルにこのMD5ハッシュ値が含まれていたら、あなたのパスワードはすぐにクラックされてしまいます。

      パスワードの強度をチェックして、人気のあるレインボーテーブルの中に入っているかどうかを知るには、MD5ハッシュジェネレータでパスワードをMD5ハッシュに変換し、そのハッシュをオンラインのMD5復号化サービスに提出してパスワードを復号化するという方法があります。例えば、あなたのパスワードが "0123456789A "の場合、ブルートフォース法では、パスワードを解読するのに1年近くかかるかもしれませんが、MD5ハッシュ( C8E7279CD035B23BB9C0F1F954DFF5B3 )をMD5復号化サイトに提出して復号化した場合、解読にはどれくらいの時間がかかるでしょうか？自分でテストを行うことができます。

13. 10週間ごとにパスワードを変更することをお勧めします。

14. マスターパスワードをいくつか覚えておき、他のパスワードはプレーンテキストファイルに保存し、このファイルを7-ZipやGPG、BitLockerなどのディスク暗号化ソフトで暗号化するか、パスワード管理ソフトでパスワードを管理することをお勧めします。

15. 暗号化し、異なる場所にパスワードをバックアップし、コンピュータやアカウントへのアクセスを失った場合は、すぐに戻ってパスワードを取得することができます。

16. 可能な限り2段階認証をオンにしてください。

17. 重要なパスワードをクラウドに保存しないでください。

18. ブックマークから直接重要なウェブサイト（例えばPaypal）にアクセスし、そうでなければそのドメイン名を慎重にチェックしてください、それはあなたのパスワードを入力する前に、それがフィッシングサイトではないことを確認するためにAlexaツールバーでウェブサイトの人気をチェックすることをお勧めします。

19. ファイアウォールとウイルス対策ソフトでコンピュータを保護し、すべての着信接続と不要なすべての発信接続をファイアウォールでブロックします。評判の良いサイトからのみソフトウェアをダウンロードし、可能な限りインストールパッケージのMD5 / SHA1 / SHA256チェックサムまたはGPG署名を確認してください。

20. 最新のセキュリティアップデートをインストールして、お使いのデバイス（Windows PC、Mac PC、iPhone、iPad、Androidタブレット）のオペレーティングシステム（Windows 7、Windows 10、Mac OS X、iOS、Linuxなど）やWebブラウザ（FireFox、Chrome、IE、Microsoft Edgeなど）を最新の状態に保つようにしてください。

21. コンピュータ上に重要なファイルがあり、他の人がアクセスできる場合は、ハードウェアキーロガー（例：ワイヤレスキーボードスニッファー）、ソフトウェアキーロガー、隠しカメラがあるかどうかを確認し、必要だと感じたときに確認してください。

22. あなたの家に WIFI ルーターがあれば、それはあなたの指と手を動かすときにそれらが受け取った WIFI 信号が変わるので、あなたの指と手のジェスチャーを検出することによってあなたが（あなたの隣人の家で）タイプしたパスワードを知っていることは可能です。この仮想キーボード（またはソフトキーボード）が毎回レイアウトを変えれば、そのような場合にはオンスクリーンキーボードを使用してパスワードを入力することができます、それはより安全です。

23. パソコンや携帯電話を離れるときはロックをかける。

24. 重要なファイルを置く前に、LUKSなどでハードドライブ全体を暗号化し、必要に応じて古いデバイスのハードドライブを物理的に破壊します。

25. プライベートモードまたはシークレットモードで重要な Web サイトにアクセスしたり、1 つの Web ブラウザを使用して重要な Web サイトにアクセスし、別の Web ブラウザを使用して他のサイトにアクセスしたりすることができます。または、重要でないウェブサイトにアクセスし、VMware、VirtualBox、またはParallelsで作成された仮想マシン内に新しいソフトウェアをインストールします。

26. 少なくとも3つの異なるメールアドレスを使用し、最初のメールアドレスはPaypalやAmazonなどの重要なサイトやアプリからのメールを受信するために使用し、2番目のメールアドレスは重要でないサイトやアプリからのメールを受信するために使用し、3番目のメールアドレス（OutlookやGMailなどの別のメールプロバイダから）を使用して、最初のメールアドレス（例：Yahooメール）がハッキングされたときにパスワードリセットのメールを受信するために使用してください。

27. 少なくとも2つの異なる電話番号を使用して、あなたが検証コードのテキストメッセージを受信するために使用する電話番号を他の人に言わないでください。

28. メールやSMSメッセージのリンクをクリックしてパスワードをリセットしないでください。

29. メールでパスワードを誰にも教えないようにしましょう。

30. ダウンロードしたり更新したソフトウェアやアプリのいずれかがハッカーによって変更されている可能性がありますが、セキュリティホールを修正するために公開されていることを除いて、最初にこのソフトウェアやアプリをインストールしないことで、この問題を回避することができます。代わりに、より安全でポータブルなWebベースのアプリを使用することができます。

31. オンラインの貼り付けツールや画面キャプチャツールを使用する際には、パスワードをクラウドにアップロードさせないように注意しましょう。

32. あなたがウェブマスターの場合、ユーザーのパスワード、セキュリティの質問と回答をプレーンテキストとしてデータベースに保存しないでください。 各ユーザに対して一意のランダムなソルト文字列を生成することをお勧めします。さらに、ユーザのデバイス情報(例えばOSのバージョン、画面解像度など)をログに記録し、それらのハッシュ値を保存しておき、正しいパスワードでログインしようとしたが、そのユーザのデバイス情報が以前に保存したものと一致しなかった場合、そのユーザにSMSや電子メールで送信された別の検証コードを入力することで、そのユーザの身元を確認させるのが良いでしょう。

33. ソフトウェア開発者であれば、秘密鍵で署名されたアップデートパッケージをGnuPGを使って公開し、以前に公開された公開鍵で署名を検証する必要があります。

34. あなたのオンラインビジネスを安全に保つために、あなた自身のドメイン名を登録し、このドメイン名で電子メールアカウントを設定する必要があります、その後、あなたはどこでもあなたのメールサーバーをホストすることができますので、あなたの電子メールアカウントとすべてのあなたの連絡先を失うことはありません、あなたの電子メールアカウントは、電子メールプロバイダによって無効にすることはできません。

35. オンラインショッピングサイトでクレジットカードでしか支払いができない場合は、代わりに仮想のクレジットカードを使うべきです。

36. コンピュータを離れるときにウェブブラウザを閉じると、そうでなければ、クッキーは小型のUSBデバイスで簡単に傍受され、2段階認証をバイパスして、他のコンピュータで盗まれたクッキーでアカウントにログインすることが可能になります。

37. そうしないと、これらの証明書を使用する HTTPS 接続の機密性と完全性を保証できなくなります。

38. システムパーティション全体を暗号化してください。そうでない場合は、pagefile.sys と hiberfil.sys ファイルの中から重要な文書を見つけることができるので、pagefile とハイバネーション機能を無効にしてください。

39. 専用サーバやVPSサーバ、クラウドサーバへのブルートフォースログイン攻撃を防ぐには、LFD(Login Failure Daemon )やFail2Banなどの侵入検知・防御ソフトウェアをインストールします。