現在、どれほどの人々が自分のパスワードの安全性を真剣に考えているでしょうか。とても頻繁に利用するものなので、1個のパスワードを繰り返し使い回したくなる方もいるでしょう。事実、パスワードを決める際に、使用頻度と複雑さを天秤にかけるケースがよく見られます。頻繁に使うパスワードは覚えやすく、複雑なパスワードは覚えにくい傾向があります。また、パスワードが複雑になると、全部のオンライン・アカウントで同じパスワードを使う人が増えます。その結果、オンライン・バンキングやオークション、ソーシャルネットワーキングサービス(SNS)が、同じユーザー名とパスワードでアクセスできる状態になります。このような状況だと、ハッカーがどれか一つのWebサイトを攻撃してユーザー名とパスワードを手に入れれば、全サイトのアカウントを入手したことになってしまいます。ユーザーは、パスワードが自分の持ち物でなく、アクセスしたWebサイトのものであることを理解する必要があります。他のサイトで使用しているものと同じアカウント用パスワードを入力する行為は、セキュリティ確保の点から見ると、非常に危険な行為なのです。
辞書攻撃で破られてしまうパスワードの使用も避けるべきです。パスワードが大きな辞書に載っているような単語を使用していると、パソコンのプログラムで単語を全て試されたら、いずれ破られてしまします。また、「123456」というパスワードは最もよく使用されるものなので、辞書攻撃の回避策としては不適切です。その他、下品な言葉でパスワードを作れることも考えられますが、ID不正取得を目的にしている者対しては、そのような回避策は余り効果がないでしょう。
よく使われるパスワード
ほとんどのパスワードは、以下の3種類に分類することができます。
- グローバルパスワード:どこでも同じ一つのパスワードを使う人が非常に多くいます。これは最も避けるべき方法です。例えば、何年も前に買い物で利用したWebサイトがハッキングされただけで、最近よく利用しているアカウントも全て破られてしまします。
- パスワード候補リスト:パスワードを複雑さで分けてリストを作成し、再利用する人もいます。このようなリストがあれば、一番複雑なパスワードを金融関係のWebサイト、やや簡単なパスワードをオンラインショッピングサイト、その他のパスワードをSNSで使用するといったことができます。この方法はグローバルパスワードよりはるかに良い方法ではありますが、決して最善策とはいえません。
- 秘密のパスワードやメモ帳:アクセスするWebサイトごとに異なるパスワードを使う人がいます。彼らは大量のパスワードを覚えておく必要があるため、結果的に全てメモ帳に書き留めてパソコンの脇に置くことになります。この方法は決して実用的でなく、また休暇や置き忘れてしまった場合など、柔軟性にも欠けるといえます。その他、メモ帳をなくしたり、オフィスやPCに近づきやすい人に盗まれたりする可能性もあります。定期的なパスワード変更を社員に課している多くの企業では、パスワードを書いた紙切れが引き出しなどに溢れていて、他の社員や清掃員、泥棒が簡単に入手できる状態になっていることが多くあります。
パスワード生成アルゴリズム
では、どのようにしたら安全なパスワード苦労することなく、作成することができるのでしょうか。パスワードは、余計な負担をかけず再利用を排除でき、最大限複雑なものが良いといえるでしょう。そのためには、利用するWebサイトごとに異なる、推測されにくいパスワード生成のアルゴリズムが必要です。繰り返し実行できる秘密のアルゴリズムを作成すれば、パスワード生成に必要なアルゴリズムだけを記憶すれば十分であり、パスワードを覚える必要性を大幅に下げることができます。何か自分に関係する言葉を選び、アクセス先Webサイトに固有の情報を加え、それを加工すれば、パスワードを見られてもアルゴリズムは見破られにくくなります。
例として、「mcafee.com」用パスワードを作成する方法を取り上げてみます。
- 自分に関係する言葉:light
- アクセス先Webサイト:mcafee.com
- 生成したパスワード:123l1ghTjdqr33^!
パスワードは複雑ですが,この生成アルゴリズムは比較単純です。まず「123」を置き,次にlightの「i」を数字の「1」、最後にある「t」を大文字「T」に変えてつなげます。キーボードで「mcafee」の1段上にある文字(および数字)列「jdqr33」を付け、最後に特殊文字を入れるため「^!」を加えてでき上がりです。
自分に関係する言葉とアクセス先Webサイトを変更せずに、もう一つ別のパスワードを作成してみます。
- 生成したパスワード:LlIiFCM999gh+
まず「light」の「l」と「i」を使用していますが、それぞれ大文字と小文字にして並べます。続いて「mcafee」から選んだ「mcf」を大文字に変え逆に並べると共に、「9」をいくつか挟んで「light」から取り出した「ght」の「t」を「+」にしてでき上がりです。
どのようなアルゴリズムでもパスワード生成に利用できますが、数字と文字(大文字と小文字の両方)、特殊文字が入るようにした方がよいでしょう。ただ、認証システムによっては特殊文字を使ったパスワードや先頭が文字以外のパスワードを受け付けない場合もあります。1回試してみてパスワードが使えなければ、2回3回と試すことを勧めます。使い勝手のよいアルゴリズムがあれば、Webサイト用パスワードが盗まれても他のWebサイトのアカウントを全て守ることができます。作成したパスワードは推測されにくく、パスワードリストを持ち歩く必要もありません。
また職場の管理者からパスワード変更を頻繁に求められる場合、パスワードそのものではなく、対象Webサイトに相当する文字列だけを書き留めておけば十分です。文字列のみであれば、秘密のパスワードやメモ帳を見られても、アルゴリズムがないため悪用を防ぐことができます。
関連記事
- [2011/08/17] パスワードを強化する7つのヒント
- [2011/04/28] 複合的な手法によるパスワードリセット詐欺
- [2011/03/17] パスワード盗難に遭わないために
- [2010/12/27] SNSにおける適切なパスワード使用
※本ページの内容はMcAfee Blogの抄訳です。
原文:Make Your Password Secure
![[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス](https://blogs.trellix.jp/wp-content/uploads/2018/03/クラウドとビジネス.png)