安全なパスワードの作り方として、「~桁以上」「辞書の単語は使わない」「生年月日などにしない」など様々な情報を聞くことがあると思います。ただ実際、安全なパスワードに関する情報が多すぎるが故に、どの程度守ればいいのかかという判断をすることが難しいのではないかと思います。

ISMSの取り組み内でも、組織のルールを考えていく際に、従業者の方に守ってもらう情報セキュリティの取り組みの一つとしてパスワードのルールを考えます

そこで今回は、どのようなパスワードであれば一定程度の安全性を持つことができるのかということについて考えたいと思います。

これまでの常識は非常識になりつつある

安全なパスワードの作り方として、「8桁以上」「定期的に変更」といったイメージを持たれている方も少なくないのではないでしょうか。しかしこれらの常識はこの数年で大きく変化しています。

例えば「8桁以上」。この指針はIPAが公表していたものなのですが、公表したのは2011年です。現在のIPAは、「できるだけ長く」「複雑で」「使い回さない」ものを推奨しています。IPA内のコンテンツによっては「最低でも8桁」とするものもありますが、その場合でも英数字+記号の形で複雑に作成することが望まれています。

では、現在だとパスワードが解析されるまでにどれくらいの時間を要するのでしょうか。以下は、パスワードの解読時間を調べられるサイトを利用して、ランダムな文字列のパスワードの解読時間を調べた結果です。

6桁 8桁 10桁 12桁 14桁
アルファベット 400ミリ秒 22分 1か月 300年 80万年
アルファベット+数字 1秒 1時間 7か月 2000年 900万年
アルファベット+数字+記号 19秒 2日 52年 40万年 40億年

一概に正しい結果と断言することはできませんが、8桁だと英数字+記号の組み合わせだとしても2日で解析ができてしまう可能性があり、10桁の英数字+記号から急激に解読に時間がかかるようになっています。さらに12桁の場合だと、ランダムなアルファベットのみでも解析に300年かかるとされています。

補足として現在、内閣サイバーセキュリティセンターは10桁以上の英数字+記号の混合、JPCERT/CC12桁以上を推奨、プラスαとして英数字+記号のパスワード利用を勧めているといった点からも、上記の結果はあながち間違いではないといえるのではないでしょうか。

これらを考慮すると、最低でも「10桁の英数字+記号」、10年前は8桁でも大丈夫とされていた常識が10年で通用しなくなったことなども含めて考えると、「12桁以上の英数字か英数字+記号」のパスワードを利用することで、一定程度安全であるといえるのではないでしょうか。

現在では、上記のような解読しづらいパスワードを利用することで、基本的には定期的に変更する必要がないともされています。

どのように安全なパスワードを作成する?

長く複雑であればあるほど解読されづらい安全なパスワードになることがわかりました。しかし、長く複雑にすればするほど、作成の手間がかかりますし、種類が増えれば増えるだけ覚えられないなど管理を行いづらくなります。そこで、この項目では、安全なパスワードの作成・管理に関する2つの案について検討してみたいと思います。

1.コアパスワードを使用した作成方法

自分で作成する場合は「コアパスワード」を利用してパスワードを作成していくことが有効かもしれません。

コアパスワードには、自分と全く関係のないような固有名詞を利用やする方法や、なんらかの文章を作成して、文節ごとの頭文字をつなぎ合わせてワードを作る方法があります。例えば、「Kotoshi no natsu ha atsui desu」から「Knnhad」というワードを作成するといったことです。その上で、一定の法則に基づいて、文字の追加や変更を行って、サービスごとのパスワードを作成します。

この方法を利用することで、解読されづらく、法則さえ分かっていれば自分が記憶しておくことのできるパスワードを作成することができます。管理しきれないほどたくさんのパスワードは利用していない、また、管理ツールは利用したくないといった方にはおすすめの方法かもしれません。

2.パスワード管理ツールの利用

LastPassや1Password、Dashlaneなどのようなツールの利用です。これらのツールでは、強固なパスワードを自動生成して、一元管理することが可能です。管理するパスワードの利用自体は、管理ツールのマスターパスワードの入力や生体認証のみで行うことができます。

ひとつだけ少し長くて複雑なパスワードを記憶しておけば、その他の強固なパスワードを管理することができるので、たくさんのパスワードを管理する必要がある場合には、有効な方法であるといえるのではないでしょうか。

まとめ

今回は、安全なパスワードについてご説明をしてきました。

結論としては、最低でも10桁、さらに可能であれば12桁以上、なおかつ英数字+記号など複雑にしていくことで、より解読が困難になっていくという形でご認識いただけるとよいのではないかと思います。もちろん管理ツールなどを使用する場合は、可能な限り多くの桁数で複雑なパスワードに設定することで、より高いセキュリティレベルにしていただくことができます。

現状のパスワードルールやご自身のパスワードに不安がある方は、参考にしていただければ幸いです。

 

結局安全なパスワードってどういうものなの?

安全なパスワードの作り方として、「~桁以上」「辞書の単語は使わない」「生年月日などにしない」など様々な情報を聞くことがあると思います。ただ実際、安全なパスワードに関する情報が多すぎるが故に、どの程度守ればいいのかかという判断をすることが難しいのではないかと思います。

ISMSの取り組み内でも、組織のルールを考えていく際に、従業者の方に守ってもらう情報セキュリティの取り組みの一つとしてパスワードのルールを考えます

そこで今回は、どのようなパスワードであれば一定程度の安全性を持つことができるのかということについて考えたいと思います。

これまでの常識は非常識になりつつある

安全なパスワードの作り方として、「8桁以上」「定期的に変更」といったイメージを持たれている方も少なくないのではないでしょうか。しかしこれらの常識はこの数年で大きく変化しています。

例えば「8桁以上」。この指針はIPAが公表していたものなのですが、公表したのは2011年です。現在のIPAは、「できるだけ長く」「複雑で」「使い回さない」ものを推奨しています。IPA内のコンテンツによっては「最低でも8桁」とするものもありますが、その場合でも英数字+記号の形で複雑に作成することが望まれています。

では、現在だとパスワードが解析されるまでにどれくらいの時間を要するのでしょうか。以下は、パスワードの解読時間を調べられるサイトを利用して、ランダムな文字列のパスワードの解読時間を調べた結果です。

6桁 8桁 10桁 12桁 14桁
アルファベット 400ミリ秒 22分 1か月 300年 80万年
アルファベット+数字 1秒 1時間 7か月 2000年 900万年
アルファベット+数字+記号 19秒 2日 52年 40万年 40億年

一概に正しい結果と断言することはできませんが、8桁だと英数字+記号の組み合わせだとしても2日で解析ができてしまう可能性があり、10桁の英数字+記号から急激に解読に時間がかかるようになっています。さらに12桁の場合だと、ランダムなアルファベットのみでも解析に300年かかるとされています。

補足として現在、内閣サイバーセキュリティセンターは10桁以上の英数字+記号の混合、JPCERT/CC12桁以上を推奨、プラスαとして英数字+記号のパスワード利用を勧めているといった点からも、上記の結果はあながち間違いではないといえるのではないでしょうか。

これらを考慮すると、最低でも「10桁の英数字+記号」、10年前は8桁でも大丈夫とされていた常識が10年で通用しなくなったことなども含めて考えると、「12桁以上の英数字か英数字+記号」のパスワードを利用することで、一定程度安全であるといえるのではないでしょうか。

現在では、上記のような解読しづらいパスワードを利用することで、基本的には定期的に変更する必要がないともされています。

どのように安全なパスワードを作成する?

長く複雑であればあるほど解読されづらい安全なパスワードになることがわかりました。しかし、長く複雑にすればするほど、作成の手間がかかりますし、種類が増えれば増えるだけ覚えられないなど管理を行いづらくなります。そこで、この項目では、安全なパスワードの作成・管理に関する2つの案について検討してみたいと思います。

1.コアパスワードを使用した作成方法

自分で作成する場合は「コアパスワード」を利用してパスワードを作成していくことが有効かもしれません。

コアパスワードには、自分と全く関係のないような固有名詞を利用やする方法や、なんらかの文章を作成して、文節ごとの頭文字をつなぎ合わせてワードを作る方法があります。例えば、「Kotoshi no natsu ha atsui desu」から「Knnhad」というワードを作成するといったことです。その上で、一定の法則に基づいて、文字の追加や変更を行って、サービスごとのパスワードを作成します。

この方法を利用することで、解読されづらく、法則さえ分かっていれば自分が記憶しておくことのできるパスワードを作成することができます。管理しきれないほどたくさんのパスワードは利用していない、また、管理ツールは利用したくないといった方にはおすすめの方法かもしれません。

2.パスワード管理ツールの利用

LastPassや1Password、Dashlaneなどのようなツールの利用です。これらのツールでは、強固なパスワードを自動生成して、一元管理することが可能です。管理するパスワードの利用自体は、管理ツールのマスターパスワードの入力や生体認証のみで行うことができます。

ひとつだけ少し長くて複雑なパスワードを記憶しておけば、その他の強固なパスワードを管理することができるので、たくさんのパスワードを管理する必要がある場合には、有効な方法であるといえるのではないでしょうか。

まとめ

今回は、安全なパスワードについてご説明をしてきました。

結論としては、最低でも10桁、さらに可能であれば12桁以上、なおかつ英数字+記号など複雑にしていくことで、より解読が困難になっていくという形でご認識いただけるとよいのではないかと思います。もちろん管理ツールなどを使用する場合は、可能な限り多くの桁数で複雑なパスワードに設定することで、より高いセキュリティレベルにしていただくことができます。

現状のパスワードルールやご自身のパスワードに不安がある方は、参考にしていただければ幸いです。

 

Author: 石濱 雄基
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする