サービスのログインに使用するパスワードを決める時に悩むのは、堅牢なパスワードは覚えづらく、覚えやすい簡単なパスワードは破られやすい事ですよね。
一般的にはサービスごとにパスワードを別の文字列にすることや、大文字小文字や記号を組み合わせて複雑な文字列にすることが推奨されていますが、それだと普段から頻繁に入力するとなると使い勝手が悪いですよね。面倒くさいです。
とはいえ簡単なパスワードは簡単に破られやすく、悪意のある何者かにパスワードが破られてしまえば、クレジットカードを勝手に使われたり、サービスのアカウントを乗っ取られたりといった大きな被害を被ることになってしまいます。
そこで、この記事では安全で忘れにくいパスワードについて提案したいと思います。
覚えやすく破られにくいパスワードはこれ
サービス名のアルファベット文字列 + 全サービス共通の任意の文字列
です。
例えば:
G-Mail_seikatu@C5DvTGb14
のような形です。
この場合、「G-Mail」の部分ががサービス名(LineとかYahoo!といったサービス名の文字列が入ります。)
以降の「_seikatu@5DvTGb14」の部分が全サービス共通の任意の文字列です。
seikatuのような辞書にあるような既存の単語は1文字と数えるようにするとより安全です。
※ただし誕生日や実名など類推されやすい文字列を使わない事
なぜこの形式が安全なのか、以下に説明します。
パスワードが破られるケースとは?
総当たり攻撃により破られるケース
パスワードが破られる最も多いケースとして、総当たり攻撃があります。
専用のツールを使い、文字列の全組み合わせを一つ一つしらみ潰しに調べて突き止める方法です。
この場合、人間の読解性は関係ありません。単純に文字列の長さで堅牢さが決まります。
例えば、パスワードに使用可能な文字が下記の95種だったとします。
| 英大文字 | [A-Z](26文字) |
|---|---|
| 英小文字 | [a-z](26文字) |
| 数字 | [0-9](10文字) |
| 記号 | (スペース) ! ” # $ % & ‘ ( ) * + , – . / : ; < = > ? @ [ ] ^ _ ` { | } ~(33文字) |
これを使った11文字のランダムな文字列のパスワードは、95の11乗もの組み合わせがあります。
※例:tqSehM9hSr7
つまり全部で、95の11乗=5,688,000,922,764,599,609,375の組み合わせがありますが、これが3日ほどで破られてしまうそうです。
そこで、1文字増やして12文字とするとどうでしょうか?組み合わせは95倍となるので、破られるまでの日数も95倍、95×3=285日かかることになります。
さらに13文字に増やすと285×95=27,075日、つまり74年かかることになります。
これならまず大丈夫です。
総当たり攻撃をブロックするには13桁以上の文字列にしましょう。
ただし、サービスによっては、大文字や記号が使えない場合もあります。その場合は文字数を増やして強度を上げてください。
| 文字種 | 文字のパターン数 | 安全な文字数 |
|---|---|---|
| 数字のみ | 10 | 24文字以上 |
| 数字、小ローマ字 | 36 | 16文字以上 |
| 数字、大小ローマ字 | 62 | 14文字以上 |
| 数字、大小ローマ字、記号 | 95 | 13文字以上 |
パスワードが漏れるケースとは?
サービス会社のセキュリティが破られたり内部犯行のケース
企業のパソコンにスパムウェアが侵入して顧客の個人情報が盗まれたり、企業内部の人間が個人情報データを闇業者に横流ししたといったニュースをたまに見かけます。
このような場合、複数のサービスでパスワードを使いまわしている方は、パスワードが漏れた会社のみならず他のサービスでもパスワードが悪用されることが考えられます。
対処法としては、サービスごとにパスワードを変えましょう。
上記のように、全サービス共通の任意の文字列+サービス名とすれば覚えやすいですよ。
誕生日や名前などから類推される文字列
個人情報が外に漏れてしまった場合に、企業に登録した誕生日や名前などを単純に組み合わせたパスワードを使っている場合は破られてしまう恐れがあります。
たとえ、名前や誕生日の文字列をバラバラに組み合わせたアナグラムとして使っていたとしても、名前や誕生日の文字のみを使った総当たり攻撃をされるてしまうと簡単に破られてしまいます。
なので、そういったパスワードはお勧めしませんが、それでも覚えやすいメリットはあるので、例えば分かりやすい1単語は1文字とみなして、他に記号や大文字小文字と組み合わせて、正味13文字以上とするなら問題ありません。
例えば↓のような形です。
あなたが使っているパソコンにスパムウェアが侵入し、漏れてしまうケース
あなたの使っているパソコンにスパムウェアが仕掛けられ、パスワードやカード情報などの入力文字列が外部に送られてしまうケースも発生しています。
スパムウェアの侵入の原因は怪しげな海外のサイトを開いたときや、フリーソフトをインストールしたタイミングで起こるケースが多いようです。
こういった被害を防ぐには、怪しいサイトやメールを開かないことはもちろん、定期的にパソコンにウィルス検査ソフトを実行することが必要です。
もし侵入されてしまった場合は既にパスワードが抜き取られてしまったことも考えられます。
被害が拡大しないように、すぐにパスワードを変更しましょう。
上記の「全サービス共通の任意の文字列」の部分を変更すればOKです。
また、サービスが対応していれば2重認証を設定しておくと安心です。
※2段階認証とは、ID/パスワード入力の他に、セキュリティコードの入力や、スマホ上でのログイン可否の選択を追加することで、第3者に不正なアクセスを防止する仕組みです。
パスワードのフィッシングメールにひっかかってしまったケース
スパムウェア以外にもパスワードのフィッシング詐欺が流行ってますね。
金融機関やクレジットカード会社など、各種サービスの公式メールを装い「パスワードの脆弱性が見つかりました。今すぐパスワードを変更してください」とか
「カードの不正利用が見つかり一時使用を停止しました。パスワードを変更してください」とか
「メンテナンスのためパスワードをリセットしました。新しいパスワードを設定してください。」などの言葉で煽られ、メール文中に記載されたURLをクリックすると、公式サイトそっくりの画面が開き、指示通りに個人情報やパスワードやカード番号を入力してしまうと、それらの情報が盗まれてしまいます。
この場合、どんな複雑で堅牢なパスワードでも防ぎようがないですし、普段から注意していなければなりません。
また、複数のサービスで同じパスワードを使いまわしている場合にはさらに被害を拡大させてしまう恐れもあります。
被害を拡大させないためにも、サービスごとに異なるパスワードを使用しましょう。
終りに
というわけで、覚えやすく安全なパスワードを紹介しました。よかったら参考にしてみて下さい。
IDにメールアドレスが使われるサービスが多いですが、どこかでメールアドレスを公開している場合や外部に漏れてしまった場合、アタックされやすくなり被害の危険度が増すことになるので特に注意してください。
コメント