プライベートでの安全なパスワードのつくりかた、管理のしかた

こんにちは。
日本コンピューターサイエンス株式会社 ( CSC ) から、セキュリティ関連の情報をお届けします。
今回は、どのように安全なパスワードをつくり、どのように管理すればよいのか、また、今後、安全性を高めていくために、どうすればよいのかをまとめました。

「パスワードを複雑にする」、「類推しにくいものにする」、「英数字と記号を含む8桁以上の文字数にする」と言われていますが、それは、攻撃者から総当たり攻撃や、よく使われるパスワードを引き当てる「辞書攻撃」を受けても、パスワードを判明しにくくするためです。

ただ、複雑で類推しにくいパスワードであっても、過去にどこかのサイトから漏洩したパスワードは、ダークウェブ( 闇サイト )で氏名やID、メールアドレスなどとともに売買されています。
攻撃者は、入手した情報をもとに、金銭を搾取できるサイトにアクセスしてログインを試みます。
そのために、「使い回しはしない」、「定期的にパスワードを変える」ということが推奨されてきました。しかし、今では、覚えやすいパスワードにしてしまうと総当たり攻撃や辞書攻撃によってパスワードが判明してしまうため、パスワードが漏洩していなければ「定期的にパスワードを変える必要はない」ということが定説になりました。
( ご参考 : 総務省の情報セキュリティ対策サイト )

ところで、何のためにパスワードを設定しているのでしょうか?
インターネットにサイトを公開している側は、利用者が本人であるということを特定するためです。
しかし、利用する者にとっては、銀行やネットショッピングだけでなく、ツールやアプリケーション、SNSや情報サイトにまでパスワードがあり、パスワードを考えることも、覚えたり管理することも大変です。
これらを少しでも楽にするために、まず、大切なものは何なのかを考えてみましょう。

ここ数年、お金が盗まれたり、騙し取られたり、勝手に物品を購入されて借金を負ってしまう事件が続いています。やはり、一番大切にしたいものは、お金ではないでしょうか。
次にSNSなどの利用によって、個人が特定されて犯罪に巻き込まれたり、精神的被害を受けることではないでしょうか。特に女性の場合は男性以上に、気をつける必要があると思います。
一方で、ツールやアプリケーション、情報サイトなどは、金銭的な被害や精神的な被害はないので、比較的ゆるい管理でも大丈夫だといえます。

自分にとっていやなこと、困ることは何かを考え、大切なものから順番に整理してみてはいかがでしょうか。

パスワードの考え方

ネットワークを通じて攻撃する者をハッカーといいます。
世界には、英語を読み書きできる人が、日本語が読み書きできる人の10倍以上もいるといわれています。ハッカーはコンピューター技術だけでなく、英語にも堪能です。
中露だけでなく、欧米からも攻撃がありますが、ハッカーといえども日本語が堪能な人は少ないと思います。ですから、パスワードを類推されないためには、英語より日本語をローマ字で表すのが安全なのです。
ローマ字の中の二者択一のスペル、「si」と「shi」、「ti」と「chi」、「wa」と「ha」、「tu」と「tsu」などの文字が入るパスワードにして使い分けるのも一つのコツです。

例えば、
IamaCat を wagahaiwanekodearu 、のように、英語から日本語に変える
Otyahaoisii を Otyawaoishi 、のように、二者択一の文字と同じ文字が続くと1文字にする
Harunoogawa を 35nogawa 、3-5nogawa のように、春は3月から5月だから数字や記号に置き換える。
このようにパスワードを真剣に考え、そのプロセスを記憶しておけば、文字や記号を羅列したパスワードに比べ、忘れることが少なくなります。

上記に倣い、例えば、
HaRuNoGaWaHa として 3-5NoGaWaHとすれば本人以外は何を意味しているかわからないですよね。これで10桁の文字の中に英数字と記号が入っていますから総当たり攻撃で判明するのには数万年もかかります。

このような考え方で一つのベースをつくり、その中に銀行名やショッピングサイト名、所在地の文字の中から一部の文字を挿入してパスワードをつくれば、使い回しではなくなります。

ブラジル( Brazil ) を流れる大河を社名にしたショッピングサイトの事例です
3-5___ NoGaWaH、に3文字を挿入すると決めて国名の2文字目から3文字、
3-5RazNoGaWaH、を挿入します。
たとえ、漏洩したこのパスワードをハッカーが入手して、他のショッピングサイトを攻撃しても、ログインできません。ログインできなければハッカーは文字を見て類推したりせず、次々と他の人の口座を攻撃します。

パスワードの管理のしかた

重要度別に分類して、金銭や個人が特定されるなどの重要なサイトには、それぞれ個別のパスワードを設けます。その他の情報サイトなどは、ハッカーが攻撃する労力に比べメリットがないため攻撃を受けませんし被害も生じないと思います。パスワードの使い回しをおすすめするわけではありませんが、重要なサイトに使用した以外の、別のパスワードを設定しておけば大丈夫です。

事例では一般的な内容にしましたが、公にしていない趣味や密かな楽しみなどからパスワードをつくれば忘れることは少なくなりますし、パスワードをつくるまでのプロセスをしっかり考えたのであれば、そのプロセスは印象に残ります。
もし忘れてしまう可能性があれば、パスワードそのものを書かず、そのプロセスをメモしておくと、たとえ盗まれても、前記のようなバリエーションを用いてパスワードを決めているため、パスワードが類推されることはありません。

それでも、何かにパスワードそのものを記録しておきたいのであれば、どのように管理すればよいか説明します。まず、多くの人が管理している「紙に書く」という方法があります。
自宅など使用場所が固定されたパソコンの場合は「紙に書く」という方法が、一番リスクが低く、安全です。
しかし、モバイルパソコンを持ち歩いたり、スマートフォンでもアクセスする場合、パスワードを書いたメモを持ち歩くとリスクが生じます。
メモを入手した人は、ハッカーでなくても、メモを見て銀行やショッピングサイトにログインすることができます。高いリスクですよね。

パソコン・スマートフォンを使った管理

インターネットに接続して目的とするサイトを画面に表示する機能をブラウザと言います。プライベートで利用するパソコンやスマートフォンでは、Google Chrome、Safari、Internet Explorer、Edge、Firefoxなどがあります。
例えば、Google Chromeブラウザには、IDとパスワードを記憶する機能が備わっており、一つのメールアドレスでつくったアカウント( 口座 )を使えば、複数のバソコンを使用してもスマートフォンを使用しても、サイトごとに記憶したパスワードが自動的にパスワード入力欄に挿入されます。また、Google Chromeが自動的にパスワードの漏洩リスクや、使いまわしているパスワードをチェックしてアラートを表示してくれます。
金銭的な被害や精神的な被害を受けるリスクがあるサイトは除き、自分でパスワードを考えるのではなく、Google Chromeが推奨するランダムな英数字が羅列されたパスワードをそのままGoogle Chromeに記憶させるという方法があります。

パソコンやスマートフォンへ第三者に勝手にログインされてGoogle Chromeに記憶されたパスワードが使われることがあっては困ります。
その対策として一番オススメなのは、顔認証、指紋認証などの生体認証によるログインです。この他に、パソコンへのログインにはスマートフォンを近づけることによる認証方式、USBメモリーを差し込むことによる認証方式などがあり、不正なログインを防ぐことができます。

一方の、外部からネットワークを通じてのパソコンへの侵入は、一般的にいわれている、アップデートを頻繁に行いWindows OSを最新化すること、ウイルス対策ソフトを最新化することで防ぐことができます。さらにWindows10ではセキュリティが高められており、外部からの侵入リスクが低くなっています。
一部で議論されていることに、Google Chromeに保存したパスワードを外部から見ることができるリスクがあります。しかしこれは、パソコン内のファイルもGoogle Chromeなどへのログイン情報も全て見ることができているということです。
Google Chromeのパスワードを記憶させることが安全かどうかという議論以前の問題ですよね。

情報収集などで登録した重要ではないサイトの場合、数か月に一度、一年に一度しかログインしないのであればパスワードは管理しないという方法もあります。ログイン画面の「パスワードを忘れた方はこちらから」にアクセスして、登録してあるメールアドレスに再設定用メールを送ってもらい、その都度再設定すると、平素のパスワード管理件数が大幅に減り、管理が楽になります。
数多くのパスワードを考え管理する労力を惜しんで、簡単なパスワードにするのに比べれば、このようにパスワードを再設定する方法もありかと思います。

今使用されているパソコンやスマートフォンに生体認証機能がついていないかもしれませんが、パソコンではBluetoothやUSBを利用した生体認証キーを購入する、スマートフォンであれば生体認証のついた機種を選定することによってセキュリティを高めることができます。