2009/03/31
会員制のWebサイト、ショッピング、金融関連のサイトでログイン時に必要となるパスワード。面倒だという気持ちや設定を忘れてしまうことを恐れ、簡単かつ自分の身近なものに設定することが多いですが、それだと推測されやすいのも事実です。ここではパスワードを設定する際のコツを紹介します。
アルファベットと数字だけのパスワードは覚えやすい反面、辞書攻撃や総当りで破られやすいものです。アルファベットと数字に加え記号(@,#,=,<,&など)を2つ以上組み入れることで破られにくいパスワードになります。
パスワードは長ければ長いほど強いものです。最低限8文字以上に設定しましょう。
パスワードにはひとそれぞれクセや習慣があると思います。これに、上記の要素を組み込んで、自分なりのルールを作りましょう。難しいパスワードは、安全性が高まる反面、忘れてしまう可能性も高まります。管理できないということは、不便もさることながら、詐欺などに対する隙にもなりかねません。
複数のパソコンやWebサービスを併用している場合、難しいのが使い分け。
全部、違うものにしたほうが安全なのはわかるけど・・・
という方のために、安全かつ忘れないパスワードの使い分け方を紹介します。
例えば、4月1日生まれの太郎さんが「0401」というパスワードを使っていたとします。このようなパスワードは、多くの場合で設定時に注意書きされているように、破られやすい危険なパスワードです。総当りの自動攻撃でも見つかりやすく、他人に類推されやすいのです。
ただし、上記のルールを使うことで、簡単にパスワードを強くすることができます。
これだけで元の「0401」よりはるかに強いパスワードになります。
もちろん、自分の氏名や誕生日をベースにするのは、類推される危険が高いため、おすすめできません。ベースとなる単語に自分の氏名ではなく有名人や歴史上の人物を使い、さらに好きな数字(誕生日や電話番号以外)と記号を組み合わせれば、覚えやすくて比較的強いパスワードが出来上がります。
ほかにも、比較的覚えやすくて強いベースパスワードの作り方をご紹介します。参考にしてください。
銀行やショッピングなど、直接金銭をやり取りするようなパスワードと、個人情報等を登録しないケースでのパスワードは区別することをおすすめします。
これによって、万が一、ひとつのパスワードが破られたり、盗まれたりした場合でも他のサービスへの被害拡大を防ぐことができます。
難しいパスワードは、安全性が高まる反面、忘れてしまう可能性も高まります。基本のパスワード、ルールを記憶して、それを応用して利用する方が忘れにくく、使いやすいものです。複数のパスワードを使い分けるときには、対象のサービスの名前と関連付けたりすることも有効です。また、メモとして保管することも必ずしも悪いことではありません。貴重品と同様に、肌身離さない財布や手帳に自分だけがわかる形でメモしておいてもよいでしょう。ただし、パソコンやサービス名とID、パスワードの全文を一覧で書いてしまうと盗難や紛失時のリスクを担保できません。
時々パスワードを変更することで、万が一、パスワードが破られたり盗まれた際のリスクを下げることができます。そのサービスを使用する頻度によりますが、3カ月に一度など定期的に変更することでさらに安全性は高まります。
ただし、あまりに変更が多すぎると本人が忘れてしまう危険もあるため、例えば新しいサービスを使う、大きな買い物をする、公共ネットワークを使う、など自分なりのタイミングで変更を心がけることをおすすめします。
応用例として、使い分ける方法も紹介します。
パスワードに使える文字からランダムに抽出し、1秒に1万回の速さで、全組み合わせの50%を試行した時点でパスワードが破れると仮定した場合、次のような期間がかかります。
※実際には、全組み合わせの10%で破られることも、90%で破られることもあるので、あくまで下記の計算値は目安です。
【参考】
・英字(52文字)
abcdefghijklmnopqrstuvwxyz
ABCDEFGHIJKLMNOPQRSTUVWXYZ
・数字(10文字)
1234567890
・特殊文字(32文字)
! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ ] ^ _ ` { | } ~ (スペース)
パスワードの設定に工夫を凝らさなければならない理由として、悪意のある第三者がパスワードを破る攻撃が行われています。「彼を知り、己を知れば百戦危うからず」代表的な攻撃方法を紹介します。
ユーザをだまし、攻撃者が用意したWebサイトでパスワードを入力させて盗む方法。フィッシング詐欺などの詐欺の手口。
キーロガーはキー入力情報を記録する不正プログラム。パソコンにキーロガーが侵入していると、どのWebサイトで何のパスワードを入力したのかが盗み見られる。
ありがちなパスワードの候補リストを元に攻撃をする辞書攻撃や、数字や文字の組み合わせの全てを入力する総当り攻撃(ブルートフォースアタック)がある。
※この記事は制作時の情報をもとに作成しています。