パスフレーズとパスワードは何が違うのか？

「パスフレーズ」というのはパスワードの一種で、通常のパスワードよりも長い10文字～数十文字以上で構成されるものを言います。一つの単語ではなく、いくつかの単語をスペースで区切った文章にすることが多いため「パスフレーズ」と呼ばれています。

このパスフレーズ、従来のパスワードと比べて、どのような有効性があるのでしょうか。

パスワードを狙った攻撃

パスワードを盗んでWebのサービスに不正アクセスする攻撃が増えています。従来よく起こっていたのは「ブルートフォース攻撃」という方法で、あらゆる文字列を入力してみてログインを試みるという方法でした。

攻撃したときの成功率は約0.001％と決して高くはありませんが、あらゆる文字列の組み合わせは人が行うわけではありませんので、PCの性能が高くなればなるほど成功率は上がります。

後述する「パスワードリスト」攻撃のほうが遙かに成功率が高いのにもかかわらず、依然としてブルートフォース攻撃による被害は続いています。

「パスワードリスト攻撃」というのは、攻撃者が何らかの方法で入手したIDとパスワードのリストを用いて不正アクセスを試みる方法です。こちらは実際に使われているパスワードを入力するので成功率が0.01～2％ほどと言われています。

どちらの攻撃方法であっても、不正アクセスされてしまうと、大切な情報が漏えいしたり、データを改ざんされるといった被害が出ます。ECサイトにアクセスされて高額商品を購入されてしまった、といった事件もありました。

こういった被害にあった原因は、単純なパスワードを使っていた、複数のサイトで同じパスワードを使い回していた、という基本的な対策の不備が多く見られます。

被害に遭いやすいパスワード

日本でよく使われているパスワードと、それをハッキングするまでに要する時間はこのようになっています。データは、リトアニアのセキュリティ企業Nord Securityが「2022年に最も使われたパスワード」として2022年11月15日に発表したものです。

5位のパスワードは意味が不明だとSNSでも話題になっていましたが、その意味はさておき、ほかの単純なパスワードよりは安全性が高いことはわかります。

破られにくいパスフレーズを

パスフレーズは、従来のパスワードより文字数が多くなるので、その分ブルートフォース攻撃でのリスクを減らせます。

また、ランダムな文字列だと長くなると記憶することは難しくなりますが、フレーズであれば覚えやすいというメリットもあります。

パスワードで用いられるのはアルファベット、数字、記号のみですが、パスフレーズではスペースを含めることも可能です。

パスフレーズは推測されにくくするためのものですから、「Thank you very much」「Good luck!」など、日常でよく使うフレーズはやめましょう。大ヒットした曲名をそのまま使うことも避けたほうが無難かもしれません。

パスフレーズは英語としての文法が正しくある必要はなく、複雑でかつ自分が覚えやすいものにすればいいのです。日本語をローマ字表記したものでも構いません。

また、英語、日本語以外の言語を用いても大丈夫です。

作ったパスフレーズは、複数のサイトで使い回さないことが大切です。どこかで漏えいしてしまうとパスワードリスト型攻撃の標的にされてしまいます。

一つパスフレーズを作ったら、サービスごとに何か文字や数字、記号などを足していく方法であれば自分でも覚えやすいですし、全く同じフレーズじゃなければ攻撃されるリスクは減らせます。

また、パスフレーズを用いた場合も、多要素認証を取り入れるなど、万全なセキュリティ対策をとるようにすればより安心です。

まとめ

・パスフレーズは10文字以上で複数の単語を組み合わせたパスワード
・パスワードを狙った攻撃は増えているため複雑なパスワードが必要
・多要素認証などの対策と組み合わせればより安全に