ツールやサービスの利用に欠かせないパスワードですが、その解読手法は高度化を極め、例えば、数字のみのパスワードだと、10桁あったとしても1秒以内に破られてしまうそうです。
各種のITシステムやサービスを利用する際にパスワードを利用することは、ごく一般的なことです。しかし、近年ではこれらのパスワードに対し、各種の手法を用いて解読が行われ、パスワードが破られてしまう事態も起きています。
このようなパスワードが破られることを防ぐための対策の一つが、強度の高いパスワードを用意することです。パスワード作成の際に適切にポイントを抑えることで強度を高めることができます。
本記事では、おすすめのパスワード作成方法を紹介します。強度の高いパスワードを用いて、安全にWebやITを利用しましょう。
また、16問で腕試しができるセキュリティ理解度チェックテストを無料で配布しています。
気軽に挑戦してみてください。
おすすめのパスワード作成手法
おすすめのパスワード作成手法として、IPA(独立行政法人情報処理推進機構)が公開する「チョコっと変える」方法とコアパスワードの利用、それ以外の方法としてパスワード生成ツールの利用を紹介します。
チョコっと変える
「チョコっとプラスパスワード」は、IPAが公式サイト上で公開しているパスワードの設定への注意喚起とパスワード作成時のヒントです。このサイトでは、パスワード作成時のポイントとして下記の3点をあげています。
- パスワードはチョコっと長くしよう!
- パスワードに数字や記号をチョコっと足そう!
- パスワードはサービスごとにチョコっと変えよう!
パスワードが破られることによる被害の説明や、強度の高いパスワードの作り方が詳しく説明されています。
コアパスワードを作る
また、パスワード作成の手法として、コアパスワードを用意する方法があります。
コアパスワードはすべてのパスワードに共通して利用するフレーズで、これをもとに任意の変換ルールを適用してサービスごとにパスワードを生成することで強度の高いパスワードを用意することが可能です。
変換ルールは各自で自由に決められるため、セキュリティ強度を確保することが可能です。
以下のようなルールが代表的です。
- ローマ字(小文字)でのコアパスワードの用意
- 助詞を大文字に変換
- 末尾に記号「!!」を付与
- 更に末尾に好きなスポーツ選手の背番号「06」を付与
これにサービスごとの識別子(半角英数字記号混じりのランダムな文字列が望ましい)を付けることで、サービスごとに異なる強度の高いパスワードが作れます。
パスワード生成ツールを用いる
その他のおすすめパスワード作成手法としては、パスワード生成ツールの利用があげられます。Web上などでランダムなパスワード生成が可能なツールが多数公開されています。
ただし、ランダム生成であるため、決して覚えやすいパスワードではないことに注意しましょう。
パスワード管理ツールとともに利用すると便利です。
おすすめのパスワード作成手法がなぜおすすめか
おすすめのパスワード作成手法について、メリットと適用しなかった場合に起きることを解説します。
おすすめのパスワード作成方法によるメリット
パスワードは利用者にとっては覚えやすく、見破られにくい、すなわち不正利用されにくいものであることが求められます。一見矛盾したようなこの二つの条件を満たすことができる点が上記の手法をおすすめする理由です。
おすすめのパスワード作成手法を用いることで、かんたんに不正に利用されないパスワードが作れます。安全なパスワードをサービスごとに作成でき、なおかつ覚えておけることでパスワードの使いまわしが行われなくなることも大きなメリットです。
安全でないパスワードで起こり得ること
安全でないパスワードを利用していた場合、どのような問題が起こり得るでしょうか?いくつか例をあげます。
SNSでのなりすましによるトラブル
SNSアカウントのパスワードが漏えい、流出してしまった場合には、なりすましが行われることが予測されます。特定の個人や企業になりすまし、デマの拡散、誹謗中傷、攻撃的な行動が行われた場合には、アカウント所有者にも責任が問われます。
アカウント所有者になりすまして、関わりのある人に金銭を要求するケースもあります。
ネットショッピングアカウントの悪用による金銭被害
ネットショッピング用のアカウントのパスワードが安全でない場合には、より直接的な被害が想定されます。アカウントを悪用してショッピングが行われるため、金銭的な被害が発生します。
個人情報の漏えい、流出など
個人情報を扱うサービスやシステムのパスワードが解読されてしまった場合には、個人情報の流出が起きるでしょう。氏名、住所などの基本的な情報から、マイナンバーやクレジットカードなどの悪用が想定しやすい情報まで流出および拡散してしまうかもしれません。
企業では機密情報も狙われかねない
企業における情報システムやサービスのアカウントの場合、パスワードが破られるとこれらのシステムへのアクセスが自在に行われてしまいます。経営上の機密情報や独自のノウハウ、顧客に関する情報など機密情報が流出・拡散するかもしれません。
そうなれば、企業自体の信用失墜や取引停止につながりますし、漏えいを起こした本人も罪に問われる場合があります。
おすすめの作成手法で作成したパスワードの強度を計測する方法
おすすめの作成手法で作成したパスワードですが、実際のところどれほどの強度なのか気になる方も多いでしょう。本項では、パスワードの強度を計測する仕組みを紹介します。
一つの方法は、パスワード計測メーターに従うことです。
各種のWebサービスなどでパスワード登録画面で表示されるものを指しています。このパスワード計測メーターに従って、安全なパスワードであると認められるものを設定する、というのも一つの目安です。
他にも、プログラムに組み込んで利用できるライブラリやWebツールとして公開されているツールを紹介します。
※以下に紹介するツールについては、ご利用者の責任の元でご使用下さい。
プログラムに組み込んで利用する
プログラムに組み込んで利用するライブラリです。
- Dropbox社の提供するJavaScriptライブラリ zxcvbn
- ヌーラボの提供するjavaのライブラリ zxcvbn4j
Webツール
Webサイトの形式で提供されているツールです。
- Bitwarden社の提供するパスワード強度チェック
- arashichang.comのパスワード強度チェックツール
- kasperskyのpassword checker
おすすめのパスワード強度向上の手法とは
また、パスワードの強度を向上させるための一般的な方法としては下記があります。
- 桁数を増やす
- 異なる種類の文字を組み合わせる
- 意味のある文言を使わない
- ユーザーゆかりの文字列は使わない
- 使うべきでない単語は使わない
使うべきでない単語については、Nord Security社(2023年更新)の「Top 200Most Common Passwords」などを参照ください。
おすすめの作成手法で作成したパスワードの更新は必要?
近年ではパスワードの定期的変更は不要とされることが増えています。
例えば、総務省の公開する「国民のためのサイバーセキュリティサイト」などでも、パスワードの定期的な更新は不要としています。
これらのパスワードの定期的な更新が不要とされるのは、定期的なパスワード更新に手間がかかるため安易なパスワードを付けてしまい、かえってセキュリティ強度が下がるためです。
この情報は、NIST(米国国立標準技術研究所)により2017年に発表された「NIST Special Publication 800-63-3 Digital Identity Guidelines」が根拠とされています。
ただし、このガイドラインではパスワードの定期更新はデメリットがメリットを上回るとしているだけで、パスワードの定期的な更新の有効性を否定しているわけではありません。
パスワードの定期的な更新が役立つ場面は存在しているため、企業のセキュリティポリシーなどに沿って要否を定めるとよいでしょう。
まとめ
パスワードには利用者が覚えやすく、パスワードの解読が難しいセキュリティ強度が求められます。これらを実現する方法として、フレーズに多少の変更を行うことやコアパスワードの利用などがあります。また、設定したパスワードはツールなどを用いて強度を確認しておくと、より安心できるでしょう。
その他、情報セキュリティにまつわるルールやマナーをどれだけ知っているか、16問のテストでチェックしましょう!