何かのシステムやサービスにログインする際にIDとパスワードを入力することは今や当たり前です。
しかし、パスワードの重要性について正しく理解できていない人が多いのが現状です。
パスワードなんてセキュリティ面で当たり前だと思われている方ももちろんいらっしゃると思います。
しかし、とても簡単で推測しやすいパスワードを設定している人や、様々なサービスでパスワードを使いまわしている人など、パスワードを軽視している方が大勢いるのが現状です。
そこで今回は、パスワードの重要性から危険なパスワード設定、強力なパスワードの考え方などをご紹介いたします。
1. パスワードの重要性
システムやサービスにログインする際に必要となる「ID」と「パスワード」の入力は、「あなたは誰ですか」という質問と「それを証明できますか」という質問の2つを答えているのと同じです。
メールアドレスがIDとなるサービスが往々にしてある中で、メールアドレスは誰でも知りえる情報であるため、あなたは誰ですか?(IDはなんですか?)という問いに第三者が本人を偽り答えることは簡単です。
そのためシステムやサービスにとっては、パスワードを使って「本人である」と証明してもらうことが重要となります。
他人に知られやすいIDと推測しやすいパスワードを設定してしまうと、第三者が簡単に本人であると証明できてしまうため、パスワードは簡単に他人に知られてしまわないものにしなければなりません。
2. パスワード変更の考え方
定期的にパスワードを変更してください。と注意される場面や、決められた期間が経過すると自動的に新パスワードを要求されるサービスに出会ったことがあると思います。
しかし、最近では、パスワードの定期変更は不要だという考えが広まってきています。
従来の「パスワードは定期的に変更しなくてはならない」という考えは、2006年に米国立標準技術研究所(NIST)が発表した「SP800-63*」というガイドラインに基づくものでした。
しかし、2017年にNISTは「SP800-63-B」という改訂版ガイドラインを発表し、その中で、「定期的なパスワードの変更は強制すべきでない」と発表しました。
ではなぜ、パスワードの定期変更が不要だといわれるようになったのでしょうか。
パスワード定期変更のリスクから考えてみます。
一度強力なパスワードを作成したとしても、実際に定期的なパスワード変更を求められると多くの人は新しくパスワードを作るのではなく、「同じパターンで1~2文字を変えるだけ」であったり、「いくつかのパスワードを用意して切り替えていくだけ」といった単純な行動になりがちです。
「password1」という9桁のパスワードを「password2」に変更しても、パターン化されているため数秒で解析できるようなパスワードになってしまいます。
パスワードの定期変更を行っても、セキュリティ強化に繋がらないことが多いことから定期更新は不要だといわれるようになりました。
しかし、パスワードの定期変更が推奨されなくなったとはいえ、絶対にパスワードを変更するなという意味ではありません。
定期的に規則性のないパスワードを作成できるのであれば変更した方が強度は高くなります。
今回お伝えした「変更は強制すべきではないパスワード」に含まれるのは、「複雑で推測されにくいパスワードおよび使い回ししていないパスワード」です。
推測されやすいパスワードを使用していたり、アカウントの乗っ取り・パスワード流出が疑われたりする場合は、パスワード変更が必要です。
*https://www.ipa.go.jp/files/000025342.pdfより
3. 単純なパスワード設定や使いまわしのリスク
実際に流出したパスワードを分析し、セキュリティが脆弱なパスワードのランキングが公表されています。
2021年の危険なパスワードランキングは以下の表のとおりです。
| 順位 |
世界 |
日本
|
| 1 |
123456 |
password |
| 2 |
1223456789 |
123456 |
| 3 |
12345 |
123456789 |
|
4
|
qwerty |
12345678 |
| 5 |
password |
1qaz2wsx |
この調査は毎年行われていますが、ランキング上位に上がってくるものは「qwerty」や「12345」などの簡単に推測できるパスワードと毎年ほとんど変わっていないそうです。
毎年脆弱ランキングに上がってくるパスワードを使い続けたり、使いまわす人が大勢います。
自分だけが被害者ならまだしも、パスワードを破られることで自分が加害者になる危険性があることを認識しておいてください。
たとえば、電子メールのパスワードが盗まれれば、他人が自分になりすまして友だちにメールを送り、コンピューターウィルスや詐欺サイトのリンクをばらまくことができます。
知り合いからだと思うと安心して添付ファイルを開いてしまう可能性があるため、大変危険です。
たとえ、パスワードを強力にしていても、使いまわしていては意味がありません。
強力なパスワードであっても、それを使いまわしていると、どこかのサービスでアカウント情報を流出させてしまった場合に、利用者が他のサービスでも同じパスワードを使い回していたために、他のサービスにも侵入されてしまうケースもあります。
4. 強力で覚えやすいパスワードの作成方法
ここまでパスワードの使いまわしてや予測が容易なパスワード設定のリスクについてご紹介いたしました。
では、覚えやすく強力なパスワードをどのように作成したらいいのでしょうか。
覚えやすい複雑なパスワードを作成する方法に「コアパスワード」というものがあります。
コアパスワードでは、覚えやすい短いフレーズを決め、そのフレーズにルール決めした文字を付与させます。
たとえば、「passwordExample」というベースとなるフレーズを決めます。
そして、利用するサービスごとに「ISIpasswordExample」としたり「NEWSpasswordExample」とするなど、パスワードの使い分けをします。
「passwordExample」という羅列を覚えておけばいいので、複雑ながらも覚えやすいパスワードができます。
ベースとなるフレーズを考える上で、「大文字と小文字を入れる」「名前や誕生日を使わない」「メールアドレスの@以前の羅列を使わない」など、推測が容易になってしまうフレーズは避けましょう。
5. 多要素認証 / 多段階認証
IDやパスワードが漏れてしまうと、不正アクセスをされてしまいますが、多要素認証や多段階認証で不正アクセスを防ぐことができます。
多要素認証
多要素認証では、IDとパスワードの他に「所持情報」や「生体情報」を組み合わせて認証します。
所持情報の例としては、IDとパスワードの他に「生年月日」や「電話番号」などがあり、生体認証の例としては、「指紋認証」や「顔認証」などがあります。
IDを所持している本人しか持ちえない情報なので、とても強力な認証方法として活用されています。
多要素認証
二段階認証で馴染みのある多段階認証は、IDとパスワードの入力に加えて、あらかじめ登録しておいた携帯電話やスマートフォンでも認証する必要があります。
万が一IDやパスワードが流出し、第三者にログインされそうになっても、登録してある端末でログインを拒否すれば不正アクセスを防ぐことができます。
さいごに
今回は、パスワードの重要性から脆弱なパスワードについて、実際に強力なパスワードを作るにはどうすればいいのかなどパスワードについてご紹介いたしました。
IDとパスワードが第三者に漏れ不正アクセスされるケースはもちろん、IDとパスワードを盗む攻撃は日に日に増えています。
パスワードを強化することはもちろん、ID管理や多段階認証・多要素認証を活用し、第三者から自分の情報を守っていきましょう。
