より安全なパスワードに変えませんか?
パソコンの起動、ネットショッピングやメールのログイン、さらには社内のWEBシステムなどなど…インターネット社会はパスワードがたくさん登場しますよね。
「そう言えば、今のパスワードってずっと変えてないな」なんていう方も多いかもしれません。
ほぼ全てのサービスにおいて、半年に1度は変更するのを推奨しています。
最低でも、お盆とお正月の休みの前後には変えておきたいところです。
しかし、せっかくパスワードを変更しても、それが前のパスワードよりも悪ければ意味がありません。
今回は、悪いパスワードとはどういったもので、良いパスワードがどんなものなのかを紹介します。
「桁数=堅牢」ではない
パスワードは自分のためのものです。
自分にとってわかり難いものであってはなりません。
分かりやすいパスワードを作れと言われて、「password」や「aaaaaaaa」「123456789」といった明らかに問題のあるパスワードを作る方は最近減っています。これらのパスワードは一瞬で突破されてしまうという事実が広まったからでしょう。
そうした中、パスワードを自動生成してくれるサービスも生まれています。
自動生成されるパスワードは指定の桁数で、記号・数字・大文字小文字のアルファベットを交えたランダムな文字の組み合わせを作ってくれます。
確かに、この形で生成されるパスワードはセキュリティ上堅牢ではあります。
しかし、よほど記憶力に自信がある方でなければ覚えられません。
結局、どこかにメモをすることになり、そのメモが他の人に見られる、と言ったようなセキュリティ上の問題を抱えることになります。
一方、従来からある自分にとって覚えやすいものの例として、自分の名前・誕生日・電話番号などの生活上で使う固有名詞や番号を用いることがあります。
この場合、桁数としては十分であることが多いですが、実は安全なパスワードではなくなってなってしまいがちです。
例えばある人が自分の住所である「横浜」からyokohama というパスワードを作ったとしましょう。
桁数としては8桁で、それだけ見ればある程度の堅牢さのあるパスワードに見えます。
単純にアルファベット小文字のみを使ったパスワードで8桁のものを作るとすると、全部で 208,827,064,576通りもあります。
aaaaaaa から1つずつ文字を変えて総当たりで突破するやり方では、コンピューターでもなかなか解読されません。日単位でパスワード解除を試みられると破られますが、数分で破られるようなことはまだないでしょう。
ここに数字や大文字が混ざるとさらに桁数が跳ね上がるため、堅牢さはより強固になります。
しかし、それはコンピュータが総当たり(ブルートフォース)でパスワードを解読しようとした場合の話です。
実は、総当たりの他にライブラリアタックという方法があります。
ユーザーの個人情報から固有名詞を切り出してパスワードを類推するという方法です。
例えば、上記の人が1980年10月12日生まれの北海道札幌出身で、現在横浜の中華街近くに住んでいるとしましょう。
この場合、1980や10、12と言った数字の塊を使ったり、hokkaido、sapporo、yokohama、chuka、などの文字の塊を使いがちです。
上記の7要素から4つを使った組み合わせると、たったの840通りしかありません。
桁数はかなり長いため一見手堅そうなパスワードのように見えるのにも関わらずです。
他にいくつかの個人情報があったとしても、組み合わせはせいぜい数万〜数百万通りでしょう。
少しでも個人情報が握られていると、ブルートフォースからライブラリアタックにやり方を変えただけで、数分以内に解除されるパスワードになってしまうのです。
法人で特にありがちなのが、会社名や創業年、創業者名、創業の地名を用いたパスワードです。
特徴的な数字や固有名詞が個人よりも法人は限定的になりがちなため、これらを用いたパターンが非常に多いです。非常に容易に破られてしまう危険なパスワードと言えます。
いくら桁数が多いと言っても、特定の個人や法人に結びついた単語や数字では意味がないのです。
単語を使うのはやり方次第
総当たりで解読されるのを回避するために桁数は必要です。しかし覚えられなければ意味がなく、でも忘れ難い個人情報は使えない…。
「そう言われてもどうしたらいいの」となってしまいますよね。
ここで問題なのは、忘れ難い情報として個人情報を使っていることです。
逆に言えば、身近にあっても個人情報をベースにしていなければ、それは堅牢なパスワードになるわけです。
例えば、今私の机の上には龍角散のど飴と鉛筆と子供が書いた数字の落書きがあります。
これらはほぼ常に私の机の上にあるものです。しかし、個人情報とは全く繋がりがありません。個人情報の流出源になるインターネット上で入力することは一切ないものたちと言えるでしょう。
アルファベットにするとざっくりすると下記の要素が見つかります。
ryukakusan, nodoame,hb, pencil, mitsu-bishi,7+8 …etc
これらのうち、例えばryukakusan hb 7+8 をピックアップすると、個人情報に結びついていない15桁のパスワードになるわけです。
さらに桁数の大部分を占める ryukakusan の一部分を大文字にして ryUkakusAn という感じにすると、もはや固有名詞ではなくなり、ランダムなアルファベットに近づきます。
こうして完成したパスワードは ryUkakusAnhb7+8 となり、ライブラリアタックでも総当たりでもそう簡単に突破できないものになります。
しかも、身の回りにあるので覚えやすい単語の組み合わせです。
忘れ防止としてメモにするとしても
“ よく食べるのど飴(三番目のuがU、最後のaがA)、ペンの硬さ(小文字)、7+8 ”
という、ほとんど自分にしか意味のわからないメモで残すことができ、物理的なセキュリティにもなります。
このように「自分の身の回りにあるけど自分と繋がりがないもの」を上手く使えば、実は堅牢で覚えやすいパスワードはすぐに作れるのです。
自分以外から流出するリスクに備えるには
どれだけ特定され難いパスワードを作っていても、突破されてしまうことがあります。
それは、「パスワードを使っているサービス元」からの流出です。2020年の個人情報の流出件数は日本だけで103件もあるので、常にあり続けるリスクと言えます。
現在多くのサービスがパスワードを暗号化して保存していますが、それでも流出してしまうことがあります。攻撃者によって入力する側に罠が仕掛けられていたり、そもそも全部筒抜けになっていたりすると、難解なパスワードも意味がありません。
更に怖いのが、流出したアカウント名(多くの場合メールアドレス)とパスワードが「他のサービスでも使われてしまうこと」です。
1箇所でも流出すると、基本的に他のサービスでもその組み合わせを使われてしまいます。
サービスを利用する側でこの問題に対応するための方法はただ一つ、
「同じアカウント名(メールアドレス)とパスワードの組み合わせを使い回さない」です。
例え1つのサービスで流出しても、他のサービスに影響しないようにすることが重要です。
まとめ
今回は悪いパスワードの例と良いパスワードの例を作り方を交えてご紹介しました。
「いいパスワードを作るのが大変」「新しいパスワードにすると忘れてしまう」などの理由でパスワードをずっと変えていない人は、これを機に是非変えてみてください。
変えてしまった結果パスワードを忘れてしまったとしても、現在多くのシステム・サービスでパスワードを忘れた際には再設定することでログインが可能になっています。極力避けたいですが、忘れてしまってもなんとかなるのです。
(但し、金融系のサービスは忘れてしまうと再発行に長い時間がかかったり、仮想通貨などは忘れてしまったら一切お金が引き出せなかったりするので、サービスによるところではあります。忘れないのが1番です)
忘れ防止のために簡単なパスワードを設定したため、突破されて大切なデータが流出されたり、クレジットカードを不正に使用されるリスクに比べれば、パスワードを忘れてしまうリスクの方が低いと言えるでしょう。
パスワード更新は最低でも半年に1度が目安です。
ビジネス・私生活に切り離せなくなったインターネットを安全に使うためにも、是非堅牢なパスワードを設定してください。
中小企業をがっつりサポート!
当社では
など、企業のIT化のサポート・DX事業のサポートを行っています。
まずはお気軽にお問い合わせしてください。