Webサービスを使うとき、必ずといっていいほどユーザーIDとパスワードが必要になります。
パスワードを破られてしまうとアカウントの乗っ取りやデータの改ざんなどの被害にあう可能性もあるため、破られにくいパスワードを設定しておくことが大切です。
破られにくいパスワードのレシピ
破られにくいパスワードはズバリ以下のルールで作られているパスワードです。
「英大文字 + 英小文字 + 数字 + 記号 混じりで10桁以上」
どうしてこのルールで作られたパスワードが破られにくいのでしょうか。
その理由にパスワード解析に掛かる時間が関係しています。
パスワードの解析にかかる時間
パスワードを解析するための手法のひとつに「総当たり攻撃(ブルートフォースアタック)」というものがあります。
「総当たり攻撃」はその名の通り、手当たり次第にパスワード入力を試す攻撃手法です。プログラムで自動化することで攻撃者は手軽にパスワードを入手することが可能な攻撃になっています。
以下の表は「総当たり攻撃」され場合にパスワードがどれくらいの時間で解析されてしまうかを調査した2014年のデータです。
利用文字種\桁数 | 7桁 | 8桁 | 9桁 | 10桁 |
---|---|---|---|---|
英子文字のみ(26文字種) | 2秒 | 52秒 | 22分 | 10時間 |
英大小文字+数字(62文字種) | 15分 | 15時間 | 39日 | 7年 |
英大小文字+数字+記号(96文字種) | 5時間 | 20日 | 5年 | 527年 |
引用元:「第2回:そのパスワードで大丈夫? ~ GPGPUによる高速パスワード解析 暗号化ファイルと無線LANパスワード解析スピード」
「英大文字 + 英小文字 +数字 + 記号」を利用していても8桁の場合には20日で破られてしまっています。
10桁の場合、破られるまで527年掛かるので、まず破られる心配はないと言えるでしょう。
また、「内閣サイバーセキュリティセンター」が公開している「インターネットの安全・安心ハンドブック」でも、英大文字・小文字+数字+記号の混在で10桁以上を安全圏として推奨しています。
パスワード以外にもインターネットを安全に利用するための知識が詳しく掲載されているので、興味のある方は読んでみてください。
内閣サイバーセキュリティセンター インターネットの安全・安心ハンドブックVer.4.03(平成31年6月18日)
パスワードを作る際に気をつけること
文字種や文字数以外にパスワードを作る際に合わせて気をつけることをいくつかご紹介します。
他のサービスと同じパスワードを使い回さない
もしもパスワードが漏洩してしまった場合、漏洩してしまったサービスのパスワードだけを変更すれば不正ログインを防げるでしょうか。
漏洩してしまったパスワードは、悪意のある第三者によってリスト化され、他のサービスでもログインを試み、不正にアクセスされてしまう可能性があります。
このような攻撃手法を「パスワードリスト型攻撃」といい、成功率の高い攻撃手法と言われています。
個人情報から推察される情報を使わない
子供の誕生日やペットの名前、好きな食べ物など、一般に知られている・知られる可能性の高い情報は簡単に推察されてしまいます。
安全なパスワードをつくれるWebサービス
破られにくいパスワードはわかったけど、自分でイチから作るのは大変です。そこで破られにくいパスワードを手軽に作れるWebサービスをご紹介します。
- LUFTTOOLS パスワード生成
細かい設定ができるのでお好みのパスワードを作成できます。 - Password Generator
パスワードを100個以上、大量に作成したいときに便利です。
パスワードを管理するツール
作ったパスワードは「パスワード管理ツール」を利用すると一元管理でき、ひとつひとつ覚えておく必要もないのでとても便利です。
- 1password
もっとも有名なパスワード管理ツールです。1passwordのマスターパスワードさえ覚えておけばいいので、他のパスワードを覚える必要はありません。
各ブラウザのパスワードマネジャー機能や、iPhoneならキーチェーンを利用すると複数デバイスでパスワードを管理できるのでそちらの活用もおすすめです。
ダメなパスワードの例
セキュリティ企業のSplashDataが公開している「最悪のパスワード・ワースト100」2018年版という記事があります。
もしこのランキングに乗っているパスワードを利用されている方は、今すぐパスワードを変更することをオススメしたいです。
最悪のパスワード2018年版、トップは安定の「123456」
1位:123456
2位:password
3位:123456789
4位:12345678
5位:12345
6位:111111
7位:1234567
8位:sunshine
9位:qwerty
10位:iloveyou
パスワードを定期的に変更すべきか
強いパスワードを作成していれば、定期的に変更する必要はありません。
逆に定期的に変更する場合、パスワードの作成にパターンができてしまう場合があるため、パターンを推測されてしまう危険性があります。(たとえば末尾の数字だけ変更するなど)