どんなサービスであっても、パスワードがないサービスというのは存在しないでしょう。
新しいサービスを使う度に、管理するパスワードは増えていきます。
(私は、最近利用しているサービスだけでも、500を超えていました。。)
そんな、記憶するのが不可能な数となっているパスワード。
そもそも、どのようにパスワードの文字列を決めるのがよいでしょうか。
簡単に破られてしまうパスワードとならないように、ここでは何故それがNGなのかの解説とともに、ご説明いたします。
これだけは守ろう!パスワードの作り方
パスワード桁数はできるだけ長く!
「きほんのき」です。
長ければ長いほどGOODです。
サービスによって上限桁数は異なってきますが、できるかぎり多くの桁数を使いましょう。
NG理由
桁数が少ないと、総当たり攻撃(パスワード入力できるパターンを全て試す)であっさりと突破されてしまうためです。
英小文字8桁なら、数年前のPCでも20秒ほどで解読できる、という実験も行われています。
文字種のパターンもできるだけ多く!
英小文字、英大文字、数字、記号など、文字種を増やせば増やすほど、パスワードのパターンが大きくなりますので強固になります。
NG理由
こちらも理由は同上です。総当たり攻撃を極力難しくするためです。
英単語などをそのまま使用しない
「dog-cat」とか「use-service」とか、英単語そのままの組み合わせは避けましょう。
できるだけランダム文字列がよいです。
NG理由
総当たり攻撃に近しい攻撃として「辞書攻撃」というものがあります。
これは「よく使われる単語を組み合わせて試す」攻撃です。
いくら桁数が多くても、単純な単語の組み合わせで考えるとパターンが少なくなりますよね。
他サービスで使ったパスワードは流用しない
これは、ご自身が利用されているサービスで使ったパスワードを、他のサービスで使わない、という意味です。
NG理由
パスワード漏洩があった場合、そのパスワードを使ってアタックされるため、です。
パスワード漏洩は日常茶飯事で起きており、ダークウェブにて売買されています。
もちろんID(メールアドレス)との組み合わせで漏洩しているため、もし使い回している場合、一瞬で不正ログインされてしまいます。
「よく使われるパスワード」は使わない
よく使われるパスワードとは「123456」「password」「asdfghjkl」(←キーボードの配列をご確認ください)などです。
毎年「よくあるパスワードランキング」が公開されておりますので、ご参考ください。
(年によって多少の差はあれど、大きくは変わらないのが特徴です。)
NG理由
パスワードが漏洩していなくとも、ハッカーはまずこの「よく使われるパスワード」でログインできないか、を試みます。
もし使っていた場合は・・・瞬殺です。
攻撃というと「IDを固定」して「パスワードを変更していく」というイメージがあるかもしれませんが、逆の手法もあります。
「リバースブルートフォース攻撃」と言い、「パスワードを固定」して「IDを変更していく」攻撃です。
「123456」など、決まったパスワードに固定して、ひたすらメールアドレスを変更して攻撃する・・・
特定のIDに対して5回間違えるとロックがかかる、といったセキュリティ対策は、この「リバースブルートフォース攻撃」には耐えられません。
(もちろん、別のセキュリティ対策はありますが、完全にサービス側のセキュリティレベルに依存します・・・)
二段階認証(二要素認証)ができるサービスは使う
二段階認証とは、ID・パスワードを入力した後に、もう一つパスワードを求める仕掛けです。
「ワンタイムパスワード」が使われることがほとんどです。
SMS(電話番号へのショートメール連絡)や専用アプリにて、数桁のパスワードが提示されて、それを入力するというものです。
「ワンタイム」ですので、60秒などで、違うパスワードに変わるようになっています。
つまり、すぐにパスワードが変わってしまうため、不正に入力することが困難というわけです。
二段階認証の正面突破はかなり難易度が高いため、かなりのセキュリティ強化が期待できます。
難点は「面倒」なこと。これに尽きます。
現実的に、パスワード管理を機能させるには
パスワードの大切さは分かっているけど、そんなの現実的に管理できないよ、となると思います。
そこで、パスワードマネージャーを活用しましょう。
ブラウザ(ChromeやSafari)にも搭載されていますし、PCのセキュリティソフトに搭載されていることもあります。
専用のパスワードマネージャーアプリもあります。
私は、以下の「1Password」というアプリを何年も愛用しています。(有料版を使っています)
Windows、Mac、iPhone、Androidなど様々な端末で同期できますし、生体認証(顔認証とか指紋認証とか)を使ったロックも可能です。
そして、実は「二段階認証(Google Authenticator)」の登録端末としても使えるため、めちゃめちゃ利便性が上がります・・・!
FAQ
SNS認証(ソーシャルログイン)は使ってよいの?
よく、TwitterやFacebook、LINEなどのアカウントを使って、サービスにログインできる、というものがあります。(Googleなどもありますね)
利便性も高いため、ご利用されている方も多いのではないでしょうか。
↓こういうやつですね
しかし、個人的には利用を避けています。
それは以下の理由からです。
- もしそのSNSが乗っ取られてしまうと、連携していたサービスも不正アクセスされる怖れがある
- そのSNSからBAN(利用規約違反などで強制的に利用不可とされること)されると、連携していたサービスも使えなくなる怖れがある
- そのSNS障害時は認証できない可能性があり、まったく別のサービスからすると障害ポイントが増えることになる
なお、主要なSNSの認証セキュリティレベルは高いです。
SNS認証自体にも二段階認証が必要なこともありますし、よく分からないサービス(失礼!)の認証の仕組み・パスワード管理よりもセキュリティレベルが高いことも多いでしょう。
しかし、そのSNSに何かがあった時の影響範囲についても、ご検討された方がよいかなと考えます。
もっとも、これは「メールアカウント」においても同じとなります。
例えば、Gmailに不正アクセスされたら。GoogleアカウントからBANされたら。
各サービスのパスワードリセットは、メールアドレスが使われることが多いです。
いくらパスワードが強固でも、リセットされてしまっては手も足も出ません・・・
パスワードは定期的に変更してください、と言われたけど・・・
実は、現在(2021年)の考え方は「パスワードの定期的な変更は不要」と言われています。
言われています、と私が勝手に言っているわけではなく(笑)、総務省のガイドラインとして提示されています。
2017年に米国国立標準技術研究所(NIST)がガイドラインを改訂したのに伴い、日本でも追従した形となります。
定期的な変更を不要とした理由は、変更する時の(現実的な)運用に問題があるためです。
おそらく、多くの方が「末尾の数字を変える」くらいの対応しかしていないため、パスワードを変更していても簡単に推察できてしまうためです。
(例 Abcde-202105 → Abcde-202107)
完全に規則性のないパスワードに変更するのであれば、変更すること自体に問題があるわけではありません。
実態を見据えた、すばらしい改訂だと感じます。
コレもチェック!
-
パスワード漏洩をチェック!
パスワード漏洩。 今後も漏洩がなくなることはないでしょう。 防ぎようがない漏洩ですが、それでも被害を最小限にするためにで ...
続きを見る
-
使用中のルーターは安全?簡単に診断しましょう。
事業所でも家庭でも。 Wi-Fiを使っているケースは多いでしょう。 しかし、セキュリティは気になるところです。 特にビジ ...
続きを見る