No204 ダメなパスワードを避ける方法2021
良いパスワードの条件って何でしょうか?
パスワードを使いまわさないことも大事ですが、質の良いパス
ワードが満たしている条件を知っておくことも大切です。
今回は、良いパスワードの条件と逆説的にダメなパスワードに
ついて解説します。
1. 良いパスワード?
パスワードにも良いパスワードとダメなパスワードがあります。
過去にいろんなサービスのパスワード漏洩が発生しました。
その結果から、多くの人がつい安易に設定してしまうパスワード
の傾向がわかってきています。
よく使われる(=バレやすい)パスワードとしてよく上位にランク
インしているものをいくつか掲げましょう。
・123456
・123456789
・password
・111111
・123123
・qwerty
・abc123
この中でも123456 は本当に常連で、ある調査では10億件のうち700
万件(!)が123456だったそうです。
「よく使われているパスワード」は言い換えますと、犯罪者の攻撃
を受けやすいパスワードです。
犯罪者側も成功率を上げたいわけですから、よく使われているパス
ワードから試すのは理にかなっています。
できるだけ、他の人が使いそうにないパスワードを使うようにして
ください。
ではい、どんなパスワードがダメで、どんなパスワードが良いので
しょうか?
2. 短いパスワードはダメ
まずは、短いパスワード。
あたりまえですが、短ければ短いほど組み合わせが少ないですから
すぐにバレてしまいます。
例えば、パスワードが数字1ケタとわかっていれば、10回試せば
確実に答えがわかりますよね。
これが2文字なら100回、3文字なら1000回となり、10文字だと
100億回にまで増えます。さすがに、これくらいの回数となると
手作業はもちろんコンピュータでも正解に辿り着くにはかなりの
時間を要します。
数字だけでも長くなればそれだけ解くのが難しくなるのです。
以前は8文字あれば大丈夫と言われていましたが、2021年現在は
12文字は必要と言われています。
ちなみに、英数字(26種+10種)で12文字だと、36×36×36×36×
36×36×36×36×36×36×36×36=3,656,158,440,062,976(3656
兆)の組み合わせとなりますので、仮に1秒に1万回のパスワード
攻撃が可能でも平均的に1800億秒(約5700年)かかる計算になります。
使う文字種が少なくても長いパスワードはそれだけで優れたパス
ワードだ、と言えるのです。
3. 覚えやすい規則的なパスワードもダメ
2つ目は、覚えやすい規則的なパスワード。
誰だって無意味な数値はそうそう覚えられません。
逆に言えば、誰もが覚えやすそうなパスワードは多少長いとしても
良いパスワードとは言えません。
最初に掲げたよく使われるパスワードはダメなパスワードでもあり
ますが、どれも覚えやすくて規則的なものだした。
多くの方がパスワードを作るのに苦労していることがわかります。
ところで、誕生日の年月日をつなげた8ケタは一見ランダムなよう
に見えますが、実はそれほどランダムではなく、パスワードとして
は良くありません。
本来8ケタの数字であれば、1億通りの組み合わせになります。
ですが考えてみてください。
現代人の誕生日として有効なのはここ100年と考えても3万6千日
くらいです。
パスワード攻撃をする側からすれば、3万6千回の試行でパスワード
が得られます。1秒に1万回のパスワード攻撃が可能だとすると
4秒以下で答えが得られてしまいます。
パスワードとして、かなり質が悪いというのがよくわかると思い
ます。
4. よく知られた値もやっぱりダメ
3つ目は、よく知られた値。
数字なら、141421356(ルート2)だとか、31415926(円周率)
などはランダムに見えても、よく知られた値ですからいけません。
同様にqwertyやqwerasdfのようにキーボードの左端から順に打った
りしたものも同様です。
また、辞書に載っているような単語(testだとかpassword)やよく
あるフレーズ(iloveyou)もパスワードには不適切です。
こういった値も「よく使われるパスワード」一覧の常連組です。
パスワードの窃取を狙う犯罪者たちに向けた「よく使われるパス
ワードリスト」がアングラ市場で販売されています。
こんなリストに載るようなパスワードは全く不向きだと言えます。
5. 良いパスワードの作り方と確認方法
さて、ここまでダメなパターンを解説してきました。
とはいえ、これくらいのことは知っていたという方も多いことで
しょう。
問題は、これを知っていたからといって安全なパスワードを作る
のができるわけではないという点でしょう。
「これなら大丈夫だろう」といったパスワードを考えついても、
それが「よく使われるパスワード」に含まれているもあり得ます。
どうすればいいのでしょう?
最近は、パスワードが漏洩されたかどうかを調べられたり、パス
ワードの堅牢さを判断してくれるサービスがいろいろとあります。
今回はその中の一つ"Have I been pawned?" というサイトを紹介
します。これはサイト名そのままですが「私(のアドレス)は
漏洩しちゃった?」のを調べられるサイトです。
このサイト自体がアングラ系のサイトなのですが、筆者が調べた
範囲では、多くのホワイトハッカーや専門家が支持しており、
かなり安心度の高いサイトです。
このサイトでは、2種類の検索ができます。
一つは指定のメールアドレスが過去の漏洩リストしたリストに
含まれているか?で、もう一つは指定したパスワードが同様の
リストに何回出てきているか?を教えてくれるものです。
今回は、後者のパスワード入力するパターンを紹介です。
とはいえ、以下のURLを直接クリックせず、自分で検索するのは
良い習慣ですよ。
https://haveibeenpwned.com/Passwords
いくつか実行例を紹介します。最初がパスワード、次がそれが使われて
いた回数(=漏洩された回数)を示します。(最後は筆者のコメント)
123456: 24,230,577回 <== 規則的なパターン
qwertyuiop: 1,117,379回 <== キーボードの2段目を左から
secret: 243,782回 <== ありがちな単語
mustang: 207,570回 <== 車種/戦闘機名(マスタング)
toyota: 100,348回 <== メーカ名(トヨタ)
panasonic: 56,995回 <== メーカ名(パナソニック)
titanic: 55,500回 <== 映画名(タイタニック)
chevrolet: 26,165回 <== メーカ名(シボレー)
ilovemoney: 7,032回 <== フレーズ(金が好き)
ilovemary: 2,142回 <== フレーズ(メアリー、愛してる)
jonnydepp: 868回 <== 俳優名(ジョニー・ディップ)
secretkey: 194回 <== ありがちな単語(2単語)
ilovecurry: 133回 <== フレーズ(カレーが好き)
ilovestarwars: 146回 <== フレーズ(Star Warsが好き)
sakuramochi: 104回 <== ありがちな単語(さくらもち)
kashiwamochi: 16回 <== ありがちな単語(かしわもち)この結果を見ると自分の好きなもの1つをパスワードにするのは、
かなり危ないことがわかります。
しかし、これとても2つ以上を組み合わせれば、漏洩実績は極端に
少なくなります。
例えば、かなりの漏洩回数である、secretとmustangをつないで
secretmustangとすると漏洩回数はゼロですし、漏洩回数がトップの
123456+toyotaで123456toyotaもゼロです。(toyota123456の順
だと56回)
つまり、好きなものを2つ以上組み合わせると今までに漏洩した
実績のないパスワードは割と簡単に作れるのです。
6. まとめ
パスワードには使うべきでないダメなパターンというのがあります。
・短いパスワードはダメ
・覚えやすい規則的なパスワードもダメ
・よく知られた値もやっぱりダメ
逆に言えばこれを避ければ良いのですが、どんなパスワードなら
実際に良いと言えるのかは判断が難しいところです。
実際に漏洩したIDやパスワードのリストを使って漏洩実績を教えて
くれるサイトがあります。(今回は Have I been pawned?を紹介)
こういったサイトを使って、使っているパスワードや変えようと
思っているパスワードが適切なものかどうかを確認しましょう。
実際に、2つ以上の単語や好きなものを組み合わせれば、漏洩の
実績のないパスワードは簡単に作れることがわかります。
ですが、パスワードは1つだけ作ればいいんじゃないですよね。
前回も書いたように、サービスごとにパスワードは変えないと
いけないという課題があります。
さすがにムリっぽいですか?
いえ、大丈夫。方法はあります。
一つはパスワード管理ソフトなどの外部の知見を利用する方法、
もう一つは自力でパスワード管理をする方法です。
これについては次回以降で解説をします。
次回もお楽しみに。
このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html
この記事が気に入ったらサポートをしてみませんか?