結局パスワードってどうしたらいいの? ~「日本人のパスワードランキング2021」より~
こんにちは!
株式会社BFT名古屋支店・インフラ女子(?)のやまぐちです。
株式会社ソリトンシステムズから2021年に発見された209の情報漏洩事件から、多くの日本人が利用している危険なパスワードとその傾向についてのホワイトペーパーが発表されました。
https://static1.squarespace.com/static/5ed3be83912a495e0dce24c1/t/61fc7ca4ecae4f751d426244/1643936939421/WhitePaper_CSA-JP_202202.pdf
そのせいか、最近パスワード系の記事をよく目にします。
よい機会なので、私の頭の情報更新もかねてまとめていきたいと思います。
ちなみに以前「はてブロ」でCISベンチマークを参考にシステム開発でのパスワードの決め方を書いています。
(ブログ始めた頃だったのでしっかりしている…)
今回は普段の生活で使うパスワードに焦点をあてるので、システム開発系のことはこちらを参照ください。
多すぎるパスワードにもうついていけない…
GメールやFacebook、dropbox、Amazon、楽天、その他サービスにログインするために必要となるパスワード。数えたら100を超える人も少なくないはず。
6割の人がパスワードを使いまわしているという記事がありましたが、そりゃ仕方ないなと個人的には思います。使用する文字数を8文字以上、大文字・小文字・数字・記号を1つ以上使う、と制限しているサービスもあると思いますが、複雑なパスワードを複数も覚えてられないです(ハッキリ)。
また逆に、複雑にすることで覚えられなくなって、結局何かしらに書くからそこから情報漏洩することも多いそうです。
その他急に「パスワード設定してくれ」と言われるような場合とか、頻繁にアクセスしないサービスの場合は、必要な時に思い出せずにログインできないなんてしばしば。
マイナンバーのパスワード忘れた人対応でお役所は大変そう。
とにかくパスワード設定が多すぎるのが問題です。
パスワード管理ツールがあってもそれにログインするパスワードが必要だし、それが壊れたり情報が盗まれたりしたらもう終わりだし、便利な世の中になった分、実はリスクの高い状態になっているんですね。
日本人が使うパスワードで情報漏洩につながったものランキングとその傾向
さて、それでは2021年に情報漏洩した中で日本人に多かったパスワードは一体なんでしょうか。
1位 123456
2位 password
3位 000000
4位 1qaz2wsx
5位 12345678
6位 123456789
7位 111111
8位 sakura
9位 dropbox
10位 12345
想像よりも、まぁそりゃ危ないよな、というものがたくさんランクインしてました。上記のパスワードを使っている方は今すぐ変えることを検討しましょう。
確かにこれを見ると大文字・小文字・数字・記号を使うという制限があれば情報漏洩のリスクを低下させられるように感じますね。
それではホワイトペーパーに記載されている傾向を3つだけご紹介します。
(1)キーボードの配列
1位、4~6位、10位などはキーボードの配列になっていることがわかります。
この他QやAキーから右、1からジグザグに右など、どこかに大文字や記号を入れつつもキーボード配列に頼ったパスワードはよく使われているように思いますが、漏洩のリスクが高いので気を付けないといけないですね。
(2)「パスワード」の応用
2位に「password」がありますが、その他にも「passpass」「Passward」(1文字わざと間違える系)「Passw0rd!」(大文字・小文字・数字・記号で9文字)なども多く使われているようです。安易に「パスワード」なんて使わない方が身のためだなぁと実感しました。
同じ配列でもマトリクス認証と呼ばれる「形で覚えるパスワード」はいいなぁと思います。
似たり寄ったりな形になるような気もしますが。
(3)アルファベットの応用
「abcdefg」「abc123」「abcd1234」というように続きのある文字列や数字も多いようです。あとは「sakura」とか「nakamura」とか名前などもあります。こういう理由で辞書にある単語、苗字、地名などは避けた方がよさそうです。
ちなみにホワイトペーパーでは漏洩したパスワードの上位50位まで発表されています。その中には「arashi」という国民的アイドルグループ名だったり、「doraemon」という国民的アニメキャラも入ってます。面白いのでぜひ見てみてください。
結局パスワードって何にしたら安全なの?
何事も絶対はないですし、公の場でこうするといいよと書くとそれを見てアタックされることもあるので一概には言えません。
ただ、一つの解決策として「独自のルールを決めてそのルールで毎回作る」はアリかなと個人的に思います。
例えば文字列でパスワードを決めるものであった場合、
・4文字のひらがなをベース(母音だったら「aa」などと重ねる)で8文字+記号1文字(固定で決めるかいくつか候補を決めておく)
・ひらがなはサービス名やそのサービスとわかるものからとる(辞書にありそうな文字列だったら逆から並べるまたは子音と母音を逆にする)
・最初の文字は大文字
・最後は記号
というようなルールです。
noteのログインパスワードの場合、ひらがなを「のーと」すると3文字しかない(ハイフン入っちゃったし)ので最初の文字を重ねてハイフンは「う」に変えて「ののうと」とすると「Nonouuto#」とか。
他にも会社で使う、定期的に変更が必要なものは
目標や自分の想いにすると毎回振り返りができてよい、
という話を聞いたことがあります。
例えば、
「3月までに資格をとる!」だと「3gtmdnskktR!」
(1文字1アルファベットを割り当てる)とか
「1日5キロ走る」だと「Irun5km/d」(I run 5 km/day.)とか
「あと3キロ痩せる」だと「@3kgYaseru」などと
数字を入れて定量的な目標にするとよさそうです。
ただし、こういった独自ルールを作って自分で運用するにはやはり限界があるのは事実。覚え間違えたり、忘れてしまったりもあるでしょう。
両親に「こうしてみて」と言ってもきっと難しいように思います。
なので、システム屋としては「難しいパスワードにしようね」よりも「システムでそれを解決するよ」としたいです。
OpenID Connectや生体認証を使っていこう
最近GoogleやYahooのアカウントで認証してそのサービス固有のパスワードを作成しない、というものも増えてきました。これを実現するのが「OpenID Connect」という規格です。
なんて便利なんでしょう。もっとたくさんのサービスで使われるようになってほしいものです。これであれば、Googleアカウントのパスワードを強固にすればよいだけでその他複数サービスのパスワードを覚える必要がなくなります。
また、網膜や静脈、顔などの生体認証も便利ですね。
空港からホテルチェックイン、地域での買い物もすべて顔認証で支払い完了するサービスの実証実験も行われています。スマホがサイフ替わり、という方は多いと思いますが、これからは顔がサイフ替わりになる時代です。
生体認証の誤検知率は製品によって変わりますが、上記のシステムだと5%を切ります。覚えなくてもよい・持ち歩かなくてよいパスワードは少しずつ現実的になってきました。
こういった認証がもっと一般的になるように、もっと精度が上がるように、実際に使ってフィードバックしていきたいですね!
終わりに
こんな記事がありました。
資料を添付したメールを送信する際、そのファイルは圧縮してパスワードをかけろ、そしてそのパスワードはメールに書くな、ということは昔からよく言われていることですが、もはやそういうよくわからないものは削除する時代になったようです。
確かにプロジェクトで利用されるパスワードは簡単なものが多く、それを装ってマルウェアを送るという攻撃も容易に想像できます。
あまり考えたくないですが、退社・プロジェクトを抜けた方などがハッカーとして活動しているならパスワードは手に入ったも同然です。
おそらく社外の方とはセキュアにファイルを送受信をするためのシステムが別途あるからこういった処置もできるものと思いますが、パスワードかけてあるから安心、と思ってはいけないということを改めて感じる記事でした。
個人的には顔がパスワード替わり、サイフ替わりになるというものをもっと広めていきたいと思っているので、添付ファイルを開けるのも登録された顔の人のみ、というのも面白いなぁなんて思います。
長くなりました。
せめて家族や友人がこういった事故に巻き込まれないように、うるさく思われない程度に今後も啓蒙活動をしていきたいと思います。
ここまで読んでいただきありがとうございました~ ^ ^
この記事が気に入ったらサポートをしてみませんか?