適切なパスワード設定にするには?パスワードを安全に保つ5つのルール

パスワードを安全にする5つのルール

1、パスワードを他のサイトと同じにしない

現在では、SNSをはじめとしECサイトやオンラインバンキングなど様々なところでパスワードとIDを使う場面が存在します。登録するネットワークサービスが多くなればなるほどユーザへの認知負荷が多くなり、パスワードを覚えられるように「パスワードを使いまわして」サイトに登録するユーザが増加します。

パスワードを使いまわすことはユーザにとってはパスワードを簡単に管理、記憶することができるためメリットがありますがセキュリティの面ではかなりデメリットになります。パスワードを使いまわした場合に発生する可能性があるのがパスワードリスト攻撃という方法で、パスワードとIDが第三者にバレて悪用される危険性があります。

パスワードリスト攻撃というのが、あるサイトのパスワードやIDが流出したときにそのパスワードとIDを利用して他のサイトのログインを試みる方法になります。パスワードの使いまわしはこの攻撃による被害を受けやすいためしないことが推奨されています。

2、パスワードの文字数は12文字より長く

パスワードの長さがパスワードの解読の難しさに直結していると言っても過言ではありません。IT技術の進歩により適当なパスワードを片っ端から試すブルートフォース攻撃によって短いパスワードは長いパスワードに比べて簡単に特定されるようになっていしまいました。パスワードの試行回数を制限するなどの対策も取られていますが、攻撃者もそれに合わせてパスワードを1つに決めてIDを総当たりで試すリバースブルートフォース攻撃をするようになっています。

パスワードは基本的に8文字以上から設定できるサイトがほとんどなのでユーザも覚えやすいように8文字で設定することが多いため8文字のパスワードは解読されやすくなるため、総務省の「インターネットの安全・安心ハンドブック」の推奨見解では「パスワードは10文字」になっていますがパソコンの性能向上は著しいため12文字以上を推奨します。

3、意味のある言葉を入れない

パスワードを覚えやすくするために、自分の好きなものや好きな言葉、もしくは誕生日や名前などの個人情報を入れている場合も要注意です。パスワードを解読する攻撃には辞書攻撃という方法が存在し、意味のある言葉や本人の個人情報を用いたパスワードを作成して解読を試みます。パスワードを覚えやすくはなりますがセキュリティ面では十分なパスワードとは言えないため意味のある言葉を使う場合でも言葉の間に違う文字を入れ込んだり言葉のイニシャルや部分的に入れるなど有意語そのものを入れないようにしましょう。

4、大文字や記号を多用する

パスワードの強度を高めるには、小文字や数字だけでなく大文字や記号を使うことも重要になります。小文字と数字のみだと26+10の36種類しかありませんが大文字と記号(26種類)を組み合わせることにより36+26+26の88種類にまで拡張することができます。

大文字小文字+数字+記号 26 種= 88 種類の文字を使って10 桁のパスワードを作るとその組み合わせは約 2785 京個にまで増え、1 秒 5 回の制限で「ブルートフォース攻撃」をした場合、全部を試すまでに約 1760 億年かかるため安全性が高くなります。

5、パスワードは変更しない

今までの感覚ではパスワードを変更した方が安全性があると思いがちですが、実はパスワードを適切に設定している場合にはパスワードを変更しない方が安全です。

実際、2017年6月に発表されたNIST(米国国立標準技術研究所)の「電子的認証に関するガイドライン」には、「パスワードは定期的に変更すべき」と今までは記載されていた文章が「サービス提供者はパスワードの定期変更を要求すべきでない」という記載に変更されています。

理由としてあげられるのが定期的に変更するのであれば難しいパスワードではなく覚えやすいパスワードにするユーザが多いことが指摘されているからです。確かに多くのサイトのパスワードを定期的に変えるとなると覚えやすいものか使いまわしたパスワードにしたくなるのも理解できます。

なので、1〜4のパスワードのルールを守っている場合にはそのパスワードを継続して使ってもらうののが適切です。

IPAが推奨する「チョコっとプラスパスワード」

ここからはIPAの推奨しているパスワードの作成方法「チョコっとプラスパスワード」について紹介します。

覚えやすいフレーズからパスワードを作る

例えば、「東京オリンピック2020」で作るとしたらTokyo+Olympic+2020の組み合わせから「TokOly+202」のように部分ごとで取り出してパスワードを作ります。使い回しを避けるのであれば、amazonに登録するのであればTokyo+Olympic+2020+Amazonと考えて「TokOly+202Am」サイトの文字をくっつけることでパスワード管理も簡単になり使い回しを避けることができます。

ことば遊びでパスワードを作る

次に紹介するのは辞書攻撃を避けるための工夫になります。「東京オリンピック2020」をパスワードに入れたい場合であれば「T0ky001mpic2o2o」のように部分的に数字に変えたり数字を文字に置き換えることパスワードの強度を高めることが可能になります。

コメント

タイトルとURLをコピーしました