安全なパスワードのつくりかた

こんにちは。
日本コンピューターサイエンス株式会社 ( CSC ) から、セキュリティ関連の情報をお届けします。

自分の持っているパソコンやスマートフォン、またインターネット上のサービスで自分のアカウントを守るため、必ず設定するのがパスワード。
しかし、毎回毎回パスワードを入力するのは面倒……と、パスワードを単純なものに設定していたりしませんか?

待ってください!
そのパスワードはセキュリティ的に危険かもしれません!
パスワードを設定してアカウントを守っているつもりでも、単純なパスワードは思ったよりも簡単に突破されてしまいます。

もしパスワードが流出したり、特定されてしまったりすると、個人情報を盗まれたり、アカウントを不正利用されたりしてしまいます。

そこで今回は、セキュリティ面で強い”安全なパスワード”について、その特徴と作り方を考えてみましょう。

こんなパスワードは”安全でないパスワード”

みなさんは、以下のようなパスワードを設定していませんか?

✔文字数が少ないパスワード
例 abc 123

✔同じ文字が連続しているパスワード
例 aaaaaa 11111111

✔数字のみ、またはアルファベットのみのパスワード
例 12345678 abcdefg

✔キーボードのキーを順番に入力しただけのパスワード
例 qwerty asdfgh

✔簡単な単語のみを使用しているパスワード
例 tango password

✔誕生日など、個人情報が含まれているパスワード
例 nihon19741001

✔過去に流出したことがあるパスワード

これらのパスワードは、いずれも 「他人に推測されやすい」 という点で”安全ではないパスワード”です。

また、情報をねらう攻撃者の手口として、あらかじめたくさんのパスワード候補をリストに作成しておき、そのリストの上から順にパスワードを入力して不正アクセスを狙う「リスト攻撃」というものがあります。
単純なパスワードや過去に流出してしまったパスワードは、そのリストに登録されていることが多いため、危険です。

参考に、NordPassが発表した
「最悪なパスワード 2019年版」 ( 最も多く設定されているパスワード ) の中から、トップ10を抜粋して紹介します。

引用元  Here are the most popular passwords of 2019

最悪なパスワード 2019年版
上位10件を抜粋

もしみなさんが”安全ではないパスワード”を設定しているのなら、今すぐ変更しましょう!

パスワードの使い回し

近年ではSNSや通販サイトなど、さまざまなサービスが登場し、わたしたちの生活をより豊かにしています。
もちろん、それらのサービスに自分のアカウントを登録する際には、それぞれパスワードを設定します。

このとき、これらのパスワードをまったく同じものに設定してしまっていませんか?

いちいち別のパスワードを設定するのはめんどうくさいと思っているかもしれません。
でも、もしもどれか一つのサービスにおいてパスワードが流出してしまった場合、他のサービスに対しても同じパスワードで不正アクセスができてしまう可能性があるのです。

複数のサービスで同じパスワードを使い回すのも、”安全でないパスワード”と言えます。

”安全なパスワード”のつくりかた

では、”安全なパスワード”とはどのようなものでしょうか。

”安全ではないパスワード”の弱点は、「他人に推測されやすい」ことでした。
ですので、「他人に推測されにくい」ということが”安全なパスワード”の条件といえそうです。

だからといって、例えばキーボードを見ないで文字を打ち、出来上がったでたらめな文章をパスワードに設定したり、文字数が異常に長いものをパスワードに設定してしまうと、自分が使用するときに思い出せず、意味がありません。
そこで、複雑ではあるものの、「自分だけは覚えやすい、思い出しやすい」というのが重要になってきます。

”安全なパスワード”とは、「他人に推測されにくい」かつ「自分だけは覚えやすい、思い出しやすい」パスワードといえるでしょう。

以上を踏まえて、”安全なパスワード”のつくりかたを考えてみましょう。

大文字、小文字、数字、記号を組み合わせる

例えば、「password」よりも「pasSword」の方が、小文字だけのパスワードよりも推測しにくいです。
また「123456」よりも「123a4b5cde6」の方が、数字だけのパスワードよりも推測しにくいです。
さらに「@」などの記号も織り込んで、「PasS@123456」のようにすると、さらに推測しにくくなります。

日本語の単語を使う

単語をパスワードに組み込みたいときは、英語ではなく日本語を使用するようにします。
数が多い海外からのサイバー攻撃から狙われにくくなります。


「cat」→「neko」 「dog」→「inu」
「thank you」→「arigato」

文章を作り、単語の頭文字を採用する

例えば「I have a pen」という文章を作り、各単語の頭文字を取って「Ihap」という単語を作ります。
この「Ihap」は一見なんの意味もない単語に見えますが、作成した本人なら意味が分かります。

作成した本人なら意味が分かるが、知らない人が見た場合は意味の通らない単語を作成することで、他人に推測されにくく、自分では覚えやすいパスワードとなります。

また、ここでも英語ではなく日本語の文章を作るようにします。
その方が覚えやすいですし、海外からの攻撃に強くなります。

「私は学校でセキュリティを勉強しています。」→「Wgsb」
「コーヒーはブラックで。紅茶にはミルクを入れます」→「cBtM」
「高校3年生の1学期の数学のテストの点数は32点です」→「3132」

作成したいくつかの単語を、大文字、小文字、数字や記号と組み合わせて、さらに”安全なパスワード”を作りましょう。

→「cBtM@3132」

使いまわしへの対策

別々のサービスにおいては、同じパスワードを使い回さずに、それぞれに別のパスワードを設定したいです。
しかし、ここまで紹介した方法でパスワードをサービス毎に一つ一つ作成しようとすると、やはり覚えられなくなってしまいます。

そこで、使用しているサービスごとに、そのサービスに関する単語などを、パスワードに組み込んでみます。

元のパスワード「cBtM@3132」

Twitter でのパスワード → 「TwcBtM@3132」
Amazon でのパスワード → 「AmacBtM@3132zon」

上記の例では元のパスワードに、サービスの名前の一部を組み合わせています。

これで、「他人に推測されにくい」「自分だけは覚えやすい、思い出しやすい」の条件を満たした、”安全なパスワード”が作成できました!

パスワードは定期的に変更すべき?

パスワードを定期的に変更するということについては、 頻繁なパスワード変更は手間になったり、そのパスワードは一時的なものであると捉えてしまいがちです。その結果、肝心の新しいパスワードを単純で簡単にしてしまう傾向にあるようです。 新しく設定したパスワードを忘れてしまうというリスクも生じやすくなります。

以下のような場合のみ、パスワードを変更するようにしましょう。

・今、使用しているパスワードをより”安全なパスワード”に変更したい
・自分の使用しているパスワードが流出した可能性がある
・使用しているサービスがサイバー攻撃を受けた

複雑だから”安全なパスワード”ではない

例えば、新しいサービスを立ち上げることになり、あなたがユーザーにパスワードの設定をお願いする立場になったとします。
その際、パスワードのつくりかたにルールや制限を設けて、ユーザーに”安全なパスワード”を設定してもらうようにすることがあります。

しかし
「パスワードは20文字以上で、大文字5文字と小文字5文字と数字5文字と記号5文字を使用する」
のような厳しすぎるルールを設けてしまうと、
「AAAAAaaaaa11111@@@@@」
のように、ユーザーはルールにのっとっているが推測されやすい、”安全ではないパスワード”を設定してしまう可能性があります。

パスワードのルールを設けることは有効ですが、サービス提供者の立場から考えた場合、どこまでユーザーに厳しいルールを守ってもらうかについては慎重に考える必要があります。

まとめ

”安全なパスワード”とは、「他人に推測されにくい」「自分だけは覚えやすい、思い出しやすい」を満たしたパスワードです。
ぜひ、この機会に自分のパスワードを見直してみましょう。

最後までお読みいただき、ありがとうございました。