株式会社グルコム
Web関連

そのパスワードは大丈夫??破られやすいパスワードとは?その対策について


140214

1月のお話なのですが、『2013年の最も破られやすいパスワードは「123456」』という記事がありました。

ワースト1は「123456」で、これまで首位だった「password」に代わってワースト1となった。

(中略)

3位は「12345678」で、4位はキーボード配列そのままの「qwerty」、5位は「abc123」だった。2013年はアドビ社のユーザー情報が大量に流出した事件の影響から「adobe123」(10位)や「photoshop」(15位)など、アプリケーションやサイトに関連する文字列がランクインしている。

これは“盗まれてインターネット上に公開されたパスワードのファイルを分析して集計したもの”だそうです。もし、万一、これらのパスワードをどこかで使っているのなら、今すぐ変更しましょう! 今すぐです! この記事なんて読んでないで、さぁ! さぁ!

* * * * *

直しましたね? ヤバいパスワードは全部直しましたね? はい、では続けますね。

さて、これらのパスワードは漏洩してしまったパスワードを抽出したものな訳ですから、言ってみれば合鍵がバラまかれてしまった鍵みたいなものです。ですから、決して使ってはいけません。「ああ、パスワード決めるの面倒くさい」と思って(気持ちは解ります!)も、決して使ってはいけないのです。

では、どのようなパスワードが望ましいのでしょうか。8年くらい前のものですが、『優れたパスワードの選定と記憶法』という記事がありました。詳細は記事本文を読んでいただくとして(というか是非読んでください)、

100個のパスワードをいちいち記憶しなくても、100個のパスワードを生み出す1個のルールを設定すればいい。ユニークなパスワードを生成する方法の1つに、ベースとなるパスワードを選び、対象となるサービスの一部を使って変形させていく方法がある。

という部分はとても重要だと思います。ベースとなるパスワードに、サービス毎に異なる文字を組み合わせるというやりかたは、

  1. 短いパスワードを避ける
  2. 同一のパスワードを使用しない

という条件をクリアしやすくしてくれます。これで「ああ、パスワード決めるの面倒くさい(気持ちは良く解ります)」という悩みを解決しやすくなりました。

しかし、これだけでは「そんなに沢山の(しかも長い)パスワードなんて憶えられないよ」という悩みを解決しきったわけではありません。どうしても憶えきれない、そんなときにどうするのか? 答えは単純、書きとめておけば良いのです。これまた7年くらい前のものですが、『「パスワードは書きとめて」:アップル、Macユーザーにアドバイス』という記事がありました。

パスワードを付箋に書いてコンピュータのモニタやキーボードに貼り付けておくのは賢明ではないが、情報を書きとめて安全な場所に保管しておくのは有益である。

メモを取るのがマズいのではなく、そのメモがダダ漏れなのがマズいのです。例えば「施錠可能で自分しか鍵を持っていない部屋のパソコンのモニタにパスワードを付箋で貼り付ける」なら、もしかしたら充分に安全かもしれません。大事なのは「確認できるようにすること」と「ダダ漏れしないようにすること」です。

でも、それでも、どうしても楽したい! いちいちメモ見なきゃいけないなんてイヤだ! という方には、「パスワードマネージャ」というソフトウェアをお勧めします。パスワードマネージャとは何ぞや? という方には『フィッシング対策 of Life』という記事内でパスワードマネージャについて解説されていますので、こちらをご参照ください。尚、「パスワードマネージャを偽った不正なソフト」とかもあったりするので、「無料!」とか「今ならお得!」みたいな文句にだまされないよう、評価の定まった製品を利用するよう心がけてくださいね(無料でもキチンとしたソフトもありますので)。

さて、いろいろと対策してきましたが、「だけど定期的にパスワードを変更する時に管理が面倒な気がする」と思われる方もいるでしょう。しかし、パスワードを定期的に変更するということが安全性にどれほど寄与するものなのかについて、以下の3つの記事をご覧ください。

技術的な言葉が多めではありますが、パスワードの定期的変更についてどの記事も「無駄とは言わないけれど、あんまり意味は無い」という論調です。「パスワードを定期的に変更するようにしましょうね」というルールを作るより、「パスワードは最低8文字にしましょうね」とか「英字、数字、記号の全てを必ず含めましょうね」とかのルールの方がよっぽど効果があるのです。

というわけで、要約しますと、

  1. パスワードは複数文字種を利用した長い(最低8文字、できれば12文字以上)ものにする。
  2. パスワードをメモしたならば、メモは重要書類として管理する。
  3. 管理するパスワードが多数ならばパスワードマネージャの導入を検討する。
  4. パスワードの定期的変更は、安全性にはあまり寄与しない。

ってな感じになりますかね。とはいえ、技術の進歩や新たな手法などで気をつけなければならないことが変化することもあります。「こうしとけば絶対安心」なんて無いのです。

安全対策って「ダメになる確率を下げる」ことはできますが「ダメになる確率をゼロにする」ことはできません。残念ながら、そのようなのです。しかし、できる限り「ダメになる確率を下げる」ことは決して無駄ではありません。

だから決して「password」みたいなパスワードを設定しちゃダメですよ!

株式会社グルコムについて

私たちは、2007年創業17年900サイト以上の実績がある会社です。 グルコムでは、集客から見込み客の開拓・既存客との関係構築・維持、土台であるウェブ制作まで、一気通貫できる視野・サービスを提供できることが強みです。