破られにくいパスワードのつくり方

公開:
Web制作
佐藤 延明
佐藤 延明

Webサービスを使うとき、必ずといっていいほどユーザーIDとパスワードが必要になります。
パスワードを破られてしまうとアカウントの乗っ取りやデータの改ざんなどの被害にあう可能性もあるため、破られにくいパスワードを設定しておくことが大切です。

破られにくいパスワードのレシピ

破られにくいパスワードはズバリ以下のルールで作られているパスワードです。
「英大文字 + 英小文字 + 数字 + 記号 混じりで10桁以上」
どうしてこのルールで作られたパスワードが破られにくいのでしょうか。
その理由にパスワード解析に掛かる時間が関係しています。

パスワードの解析にかかる時間

パスワードを解析するための手法のひとつに「総当たり攻撃(ブルートフォースアタック)」というものがあります。
「総当たり攻撃」はその名の通り、手当たり次第にパスワード入力を試す攻撃手法です。プログラムで自動化することで攻撃者は手軽にパスワードを入手することが可能な攻撃になっています。
以下の表は「総当たり攻撃」され場合にパスワードがどれくらいの時間で解析されてしまうかを調査した2014年のデータです。

利用文字種\桁数7桁8桁9桁10桁
英子文字のみ(26文字種)2秒52秒22分10時間
英大小文字+数字(62文字種)15分15時間39日7年
英大小文字+数字+記号(96文字種)5時間20日5年527年

引用元:「第2回:そのパスワードで大丈夫? ~ GPGPUによる高速パスワード解析 暗号化ファイルと無線LANパスワード解析スピード」

「英大文字 + 英小文字 +数字 + 記号」を利用していても8桁の場合には20日で破られてしまっています。
10桁の場合、破られるまで527年掛かるので、まず破られる心配はないと言えるでしょう。

また、「内閣サイバーセキュリティセンター」が公開している「インターネットの安全・安心ハンドブック」でも、英大文字・小文字+数字+記号の混在で10桁以上を安全圏として推奨しています。
パスワード以外にもインターネットを安全に利用するための知識が詳しく掲載されているので、興味のある方は読んでみてください。

内閣サイバーセキュリティセンター インターネットの安全・安心ハンドブックVer.4.03(平成31年6月18日)

パスワードを作る際に気をつけること

文字種や文字数以外にパスワードを作る際に合わせて気をつけることをいくつかご紹介します。

他のサービスと同じパスワードを使い回さない

もしもパスワードが漏洩してしまった場合、漏洩してしまったサービスのパスワードだけを変更すれば不正ログインを防げるでしょうか。
漏洩してしまったパスワードは、悪意のある第三者によってリスト化され、他のサービスでもログインを試み、不正にアクセスされてしまう可能性があります。
このような攻撃手法を「パスワードリスト型攻撃」といい、成功率の高い攻撃手法と言われています。

個人情報から推察される情報を使わない

子供の誕生日やペットの名前、好きな食べ物など、一般に知られている・知られる可能性の高い情報は簡単に推察されてしまいます。

安全なパスワードをつくれるWebサービス

破られにくいパスワードはわかったけど、自分でイチから作るのは大変です。そこで破られにくいパスワードを手軽に作れるWebサービスをご紹介します。

パスワードを管理するツール

作ったパスワードは「パスワード管理ツール」を利用すると一元管理でき、ひとつひとつ覚えておく必要もないのでとても便利です。

  • 1password
    もっとも有名なパスワード管理ツールです。1passwordのマスターパスワードさえ覚えておけばいいので、他のパスワードを覚える必要はありません。

各ブラウザのパスワードマネジャー機能や、iPhoneならキーチェーンを利用すると複数デバイスでパスワードを管理できるのでそちらの活用もおすすめです。

ダメなパスワードの例

セキュリティ企業のSplashDataが公開している「最悪のパスワード・ワースト100」2018年版という記事があります。
もしこのランキングに乗っているパスワードを利用されている方は、今すぐパスワードを変更することをオススメしたいです。

最悪のパスワード2018年版、トップは安定の「123456」

1位:123456

2位:password

3位:123456789

4位:12345678

5位:12345

6位:111111

7位:1234567

8位:sunshine

9位:qwerty

10位:iloveyou

パスワードを定期的に変更すべきか

強いパスワードを作成していれば、定期的に変更する必要はありません。
逆に定期的に変更する場合、パスワードの作成にパターンができてしまう場合があるため、パターンを推測されてしまう危険性があります。(たとえば末尾の数字だけ変更するなど)