No152 あなたのパスワードは強いですか?

えがおIT研究所

このメルマガでは毎年のように強いパスワードの作り方について
解説をしています。

パスワードの大切さは誰しもわかっているはずです。
それでも、単純なパスワードや同じパスワードの使いまわしに
よる情報漏洩事故は今も起きています。

前回は同じパスワードを使い回すのはどうしてダメなのかを解説
しました。

今回は、強いパスワードの作り方の前段として、パスワードの
強さについて改めて解説します。

また、パスワード管理ソフトの選び方についても簡単に解説を
します。

2021年4月27日追記
 この記事は2020年の記事です。
 2021年のアップデート版を公開済みですので、是非ご覧ください。
 ・No204 ダメなパスワードを避ける方法2021

強いパスワードの作り方については次回解説します。


1. 強いパスワードってナニ?

いきなり、強いパスワードって言われても困りますよね。

ですが、弱いパスワードは?と聞かれれば答えられそうですよね。

以下、いくつか例を挙げましょう。


2. 短いパスワード

まずは、短いパスワード。

あたりまえですが、短ければ短いほど組み合わせが少ないですから
すぐにバレてしまいます。
例えば、数字1ケタなら、10回試せば答えがわかりますよね。

でも、10桁なら100億通りになりますから、手作業で答えを見つけ
出そうとは思いませんよね。


3. 単純なパスワード

2つ目は、単純なパスワード。

誰だって無意味な数値はそうそう覚えられません。
逆に言えば、誰もが覚えやすそうなパスワードは多少長くても
良いパスワードとは言えません。

実際、123456 だとか、 123123などといったパターンは覚えやす
くてよいのですが、攻撃者にとっても攻撃しやすいだろうという
のは容易に想像できます。


4. よく知られた値

3つ目は、よく知られた値。

数字なら、141421356(ルート2)だとか、31415926(円周率)
などはランダムに見えても、よく知られた値ですからいけません。

そうそう、ついでに誕生日がダメな理由も書いておきます。
誕生日を年月日の順に並べると一見8ケタのランダムな値である
ように見えますが、実はそれほどランダムでもないのです。

本来8ケタの数字では1億通りの表現が可能です。
ですが、誕生日に絞ると、たかだか3万通りくらいしかないの
です。
どんな人でも19xx年か20xx年生まれですから、それだけで先頭の
2桁は2種類に絞られます。また5桁目と6桁目は01~12だけだし、
7桁目と8桁目も01~31だけです。結局誕生日は8ケタで表現でき
る値の0.0003%くらいしか使えませんから、パスワードとしては
質が悪いのです。

また、辞書に載っているような単語(testだとかpassword)やよく
あるフレーズ(iloveyou)もパスワードには不適切です。

パスワードの窃取を狙う犯罪者たちもラクにIDを盗みたいです
から、最初にこういった「よくあるパスワードリスト」を試します。
こういったリストはネット上でいくらでも入手できるのです。


5. 結局、強いパスワードとは?

整理しましょう。

弱いパスワードとは
 1)短い
 2)単純である
 3)よく知られている
のいずれといえます。

この反対は、
 1)長い
 2)複雑である
 3)誰も知らない
となります。

はい。出ました。
長くて、複雑で、誰も知らない文字列、なら強いパスワードだと
いうことがわかりました。


6. 強いパスワードを作り続けられますか?

って強いパスワードの定義はわかったけど...。

これ、作り続けられます?

もちろん、1つだけ作ればいいんじゃないですよ。
前回も書いたように、サービスごとにパスワードは変えないと
いけません。
もちろん、新たなサービスに申し込むたびに新たなパスワードを
作らないといけません。

さすがにムリっぽいですか?

いえ、大丈夫。方法はあります。


7. パスワード管理ソフトにまかせる方法

パスワードを生成するという本質的でない作業に手間をかけるのは
もったいないと思う方はパスワード管理ソフトを使いましょう。

前回も紹介したようにパスワード管理ソフトは有識者の知見を活か
せます。

最近のパスワード管理ソフトはかなり優秀で、ランダムなパス
ワードを生成してくれたり、パスワードの重複がないことを確認
してくれたりと、至れり尽くせりです。

パスワード管理ソフトを使うからといって、すべてを委ねなくても
OKです。通常はパスワード管理ソフトにまかせるけど、特に大切
なパスワードだけは手帳に書いておいて手入力、いった並行運用も
可能ですから。

全てを自力でやらなくても、便利なものは使えばよいのですから。

実際にパスワード管理ソフトに対して筆者が必要と考える機能を
書いておきます。
実際の製品を選ぶ時の参考になさってください。

・マスターパスワードの設定
 →パスワード管理ソフトを使う時に必要となるパスワード。
  このパスワードだけは自分で設定しなければなりません。
  また、この値だけは面倒でも手入力することをオススメします。
  このパスワードの作り方については次回解説します。
・各サービスのパスワード記憶機能
 →そもそもこのためのソフトなんだから、ないはずがない。
  各パスワードは当然ながら暗号化されて保管されます。
  (今どき暗号化しないソフトなんて存在しない)
・パスワードの条件設定機能
 →サービスによってパスワードの条件が違いますから、それを
  満たすパスワードを自動生成してくれる機能。
  自力でパスワードを指定できる機能もある方がよいです。
・パスワードの重複確認機能
 →自動生成ではほぼあり得ませんが、自動作成したパスワードが
  他サービスのパスワードと一致した時に警告してくれる機能。
  (手入力したパスワードの重複が確認できる)
・有料版
 →自分の情報資産を預ける相手ですから、無料のサービス利用は
  やめましょう。
・クラウド対応
 →これは是非があります。
  複数の端末(例えばパソコン+スマホ)で利用するなら必須
  でしょう。この場合、運営サイドによる漏洩のリスクがあります。
  とはいえ、データは暗号化されているでしょうから、漏洩後に
  解読するまでの時間は稼げます。その間に全サービスのパスワード
  変更を行うことで、直接被害は避けられます。


残るは、自力でパスワードを作る方法なのですが、これはこれで
長くなりそうですので、次回に解説します。

次回もお楽しみに。

この記事は私が主宰する「がんばりすぎないセキュリティ」の
ものです。毎週月曜日の早朝に配信しています。
タダですので損はさせません(笑)
是非ご登録ください。
https://www.mag2.com/m/0001678731.html

この記事が気に入ったらサポートをしてみませんか?