安全なパスワードを設定する理由

安全なパスワードの設定が必要な理由は、以下の２つです。

・パスワードの管理方法によっては被害が拡大するから
・安全でないパスワードは短時間で解析されるから

なぜこのようなことが起こるのか、詳しく見ていきましょう。

（１）パスワードの管理方法によっては被害が拡大するから

安全なパスワードを設定する理由の一つは、パスワードの管理方法によっては盗まれたときの被害が拡大してしまうことにあります。

悪意のある第三者は、手に入れたパスワードでいくつものサイトへログインを試みます。

その時にパスワードを使い回しをしていると、次々とサイトへアクセスされ、心当たりのない買い物や、クレジットカードが不正使用されてしまうのです。

また、誕生日や名前など、個人情報に関連したパスワードを設定している場合も危険です。

個人情報からパスワードを推測され、簡単にアクセスされてしまう可能性があります。

被害拡大を防ぐためにも、パスワードの使い回しや個人情報に関連したパスワードを設定しないようにしましょう。

（２）安全でないパスワードは短時間で解析されるから

簡単なパスワードを設定していると、短時間で解析されて不正アクセスされる原因になります。

過去にIPA（情報処理推進機構）に寄せられた被害報告にも、このようなものがありました。

「今回の被害の多くは、安易なパスワードを設定していたことが原因のひとつとして推測されます。相談事例の中にも、パスワードを「数字だけの組み合わせ」、「簡単な英単語」で設定していたというものがありました。このような安易なパスワードでは、辞書攻撃*2等により短時間にパスワードを解読されてしまい、アカウントの不正利用に繋がる危険性が高くなります。」
引用元 : コンピュータウイルス・不正アクセスの届出状況[2008年9月分および第3四半期]について

パスワードを簡単に解析されてしまうと考えられる方法は、以下の2つです。

最近はパソコンの処理能力が向上し、簡単なパスワードは一瞬、あるいはほんの数分で解読されてしまいます。

このことからも、パスワードは安全なものを設定し、徹底した管理が必要なのです。

安全なパスワードを作る5つのポイント

安全なパスワードを作るための5つのポイントについて説明します。

・名前や生年月日などの個人情報を使わない
・英単語など意味のある文言を使わない
・アルファベットだけでなく数字も使う
・適度な長さのパスワードにする
・知人であれば知り得る情報は使わない

これらを踏まえて、安全なパスワードを作成するようにしましょう。

（１）名前や生年月日などの個人情報を使わない

名前や生年月日などは忘れにくいものですが、誰でも簡単に予測がつく情報でもあります。

たとえば、SNSなどで自分の誕生日や家族やペットの名前を書き込んでいませんか。

これは、何の気なしに個人情報を公表しているのです。

また、車のナンバーや住所なども推測しやすい情報だと言えます。

このような情報を用いてパスワードを設定している場合は、すぐに変更するようにしましょう。

（２）英単語など意味のある文言を使わない

身近にある英単語、好きなアイドルなどの名前を英語表記にしてパスワードに設定していませんか。

このようなパスワードは、第三者により簡単にログインされてしまう可能性があります。

例を挙げると「password」や「123456」、「1qaz2wsx」などです。

また、「sakura」「doraemon」のような日本人に馴染みのある単語も危険なパスワードとしてあげられます。

これが、辞書攻撃（辞書にある単語をかたっぱしから試す攻撃）です。

辞書攻撃はパスワード破りの手段の一つで、日常的に行われています。

（３）アルファベットだけでなく数字も使う

パスワードには、アルファベットだけでなく数字も使うようにすると難解なものになります。

それにより、ブルートフォース攻撃（文字や数字を総当たりで試す攻撃）を防ぎやすくなります。

なぜなら、一つの桁に数字は0から9までの9つしか使用できませんが、英数字はAからZの26個、大文字小文字識別があれば52個使用可能です。

そのため、パスワードの予測が難しくなり、ブルートフォース攻撃からパスワードを守りやすくなります。

（４）適度な長さのパスワードにする

適度の長さのパスワードにすることも、ブルートフォース攻撃の予防策になります。

これは、英語と数字を組み合わせたときと同様に、適度な長さのパスワードは予測が難しくなるからです。

しかし、長すぎるパスワードは覚えきれずメモすることになり、パスワードを危険に晒してしまいます。

パスワードの長さについては、英字と数字を混ぜ合わせた10〜12桁がよいとされています。

（５）知人であれば知り得る情報は使わない

パスワードには、知人であれば予測できるような情報は使わない方が賢明です。

なぜなら、友人や知人によりパスワードが不正使用された事例もあるからです。

最近では、二段階認証で「秘密の質問」を設けているサイトも多くあります。

これも、友人や知人がわかる内容を登録していると解読されてしまうかもしれません。

パスワードは、その言葉が他の人が予測できるものでないか考慮して作成しましょう。

安全なパスワードを無意味にしてしまう4つの行動

安全なパスワードを作成しても、以下のような行動を取ると無意味になってしまいます。今すぐやめるようにしましょう。

・同じパスワードを使い回す
・ふせん紙に書いて貼る
・手帳やメモにまとめて書いて持ち歩く
・PCやスマホにパスワードを保存する

理由は次項より説明します。

（１）同じパスワードを使い回す

「たくさんのパスワードは覚えられないから」と、いくつものサイトに同じキーワードを使い回すのは非常に危険です。

なぜなら、パスワードが漏れてしまった場合、一度に複数のサイトにログインされてしまうからです。

悪意のある第三者は、盗み取ったIDとパスワードを元に、あらゆるサイトにログインを試みます。

これが「パスワードリスト攻撃」です。

パスワードリスト攻撃は、他の不正アクセス攻撃よりもログインを試す回数が少ないため、運営サイト側もなかなか気づけない攻撃と言えます。

万が一のために、パスワードは使い回さないようにしましょう。

（２）ふせん紙に書いて貼る

パスワードを付箋紙に書き、PCの画面やデスクに貼って管理しているのも非常に危険です。

誰でも簡単にパスワードをのぞき見することが可能なうえに、書いた紙を紛失する恐れがあります。

例えて言うならば、家の鍵を職場の机の上に置いておき、誰でも使えるようにしておくようなものです。

この状態がどれだけ危険なのかは、簡単に理解できるのではないでしょうか。

つまり、「便利だから」という思いがパスワードを盗まれるリスクを作り上げているのです。

パスワードを、誰でも簡単に見られるような場所に貼り付けないようにしましょう。

（３）手帳やメモにまとめて書いて持ち歩く

パスワードを手帳やメモにまとめて書いて持ち歩くのは、紛失したときの被害が大きくなります。

「私は紛失しないから大丈夫」と思われるかもしれませんが、人の管理は完全なものではありません。

また、しっかり管理していても第三者によって盗まれてしまう可能性もあります。

そのようなことからも、パスワードを手帳やメモに書いて持ち歩かないようにしましょう。

（４）PCやスマホにパスワードを保存する

紙で保存しなければ大丈夫と、PCやスマホのメモ帳などにパスワードを保管していませんか。

この場合は、PCやスマホに不正アクセスされた場合、IDやパスワードが一気に漏えいしてしまいます。

また、スマホは常に持ち歩いているものなので、紛失や盗難のリスクもあります。

それは、スマホを盗まれたと同時に、IDやパスワードを盗まれたことも意味するのです。

たとえPCやスマホにロックがかけられていても、解除される可能性があります。

そのような事態になったら、どれだけの被害が生じるか想像もつきません。

PCやスマホには、パスワードを保存しないようにしましょう。

安全なパスワードについての3つの間違った習慣

パスワードを守るために、このようなことをしていませんか。

・パスワードを頻繁に更新する
・メールはPPAPデータを送付する
・とにかく複雑なパスワードを作る

これらはすべて、安全なパスワードについての間違った習慣です。

なぜなのか、詳しく説明します。

（１）パスワードを頻繁に更新する

サイトで使うパスワードは、流出した・誰かに見られた・アカウントを乗っ取られたなどの事実がなければ変更する必要はありません。

パスワードを頻繁に更新する方が、さまざまなリスクに繋がるからです。

パスワードを何度も変更すると、パスワードがパターン化し予測しやすくなります。

悪意のある第三者が一つのパスワードを手に入れた場合、パスワードがパターン化されていると、簡単に予測され、ログインができてしまう恐れがあります。

また、パスワードを頻繁に更新しているうちに、覚えきれないからと他のサイトで使用しているものを使うパスワードの使い回しの方が問題です。

パスワードの使い回しは、漏洩した場合にいくつものサイトにログインされる可能性があります。

そのため、一度決めたパスワードは、他のサイトで使用せずにそのまま固定しておいた方が安全と言えます。

（２）メールはPPAPでデータを送付する

PPAPとは、パスワードで保護したファイルを添付したメールと、パスワードが書かれたメールを別々に送信することを指します。

かつてPPAPは、データの誤送信による情報漏えいの対策として、多くの企業や組織に採用されていました。

ところが現在では、PPAPにセキュリティ対策の効果はまったくなく、むしろ危険であるとされ、政府や大企業が次々に廃止。脱PPAPの動きが加速しています。

なぜなら、悪意のある第三者がファイルを添付したメールを盗み見できるのであれば、パスワードか書かれたメールを見るのは簡単だからです。

その他にも、パスワードがかけられたzipファイルではマルウェアを検知できません。

現在PPAPでデータをやり取りしている場合は、クラウドストレージやファイル転送サービスなどを使い、脱PPAPを進めるとよいでしょう。

（３）とにかく複雑なパスワードを作る

複雑なパスワードを作ることも、間違った習慣と言えます。

なぜなら、人は複雑すぎるパスワードは覚えられないため、結局はメモを取ることになるからです。

そうすると、パスワードの紛失や盗み見によって、アクセスされてしまう危険性があります。

解析されにくい複雑なパスワードを作ったとしても、パスワードそのものが漏えいする危険性が高まってしまっては、安全とはいえません。

パスワードの複雑さでセキュリティを強化するのではなく、多要素認証やSSOを取り入れるなど、利便性を考慮して対策するとよいでしょう。

安全なパスワードの管理に役立つツール

安全なパスワードの管理に役立つツールは主に3つあります。

・パスワードを自動生成するツール
・パスワードを管理するツール
・1つのパスワードでログインするツール

どれも便利なので、気になるツールを使用してみてください。

（１）パスワードを自動生成するツール

パスワードの作り方がわからないときには、パスワード自動生成ツールを使用するのが良いでしょう。

こちらは、Web上で検索することで使用可能です。

「含める文字」「文字数」「表示させる個数」などを選択し、パスワード生成ボタンをクリックすると、ランダムなパスワードが作成されます。

しかし、このように作ったパスワードも紙などにメモをしてしまうと無意味です。

覚えられる桁数（最大でも12桁程度）で作成するようにしましょう。

（２）パスワードを管理するツール

パスワード管理ツールは、数多くのサイトのIDやパスワードを記録・管理できるツールです。

マスターとなるIDとパスワードさえ覚えておけば、その他のパスワードは覚えていなくても、サイトにログインするときに自動入力されます。

また、管理ツールに入力したパスワードは暗号化されるため、ハッキングなどの攻撃からも情報を保護できます。

さらに、パスワードの自動生成・パスワードの強さのチェックも行うので、より安全にパスワードの管理が可能です。

（３）1つのパスワードでログインするツール

1つのパスワードで複数のサービスが利用できるシステムがあります。

これは、シングルサインオン（SSO）と言い、一度ログインすれば、関連するサイトやツールが利用できます。

覚えておくのはマスターとなるパスワードのみなので、アカウント管理に費やす時間も削減可能です。

ただし、シングルサインオンでアクセスした場合、そのIDには強力なアクセス権が付与されます。

セキュリティの強化のためにも、多要素認証を使用した方が良いでしょう。

シングルサインオンについての詳細は、こちらをご覧ください。
⇒シングルサインオン（SSO）とは？基本やメリット・デメリットをわかりやすく解説

まとめ

パスワードは、以下のことを踏まえて作成するのが重要です。

・個人情報は使用しない
・覚えやすく推測されにくいパスワードにする
・10〜12桁の長さにする
・アルファベットと数字を混ぜる
・知人なら知り得る情報を盛り込まない

また、数多くのパスワードを作成しているうちに、どうしてもパスワードそのものがパターン化してしまいます。

その際にはパスワード自動生成ツールを使用するのが良いでしょう。

パスワードの管理にも注意が必要です。

付箋紙に書いて貼る・メモに書いて持ち歩く・PCやスマホなどに保存するという行為は、たとえ安全なパスワードであっても無意味なものになってしまいます。

パスワード管理には、パスワード管理ツールやシングルサインオンを使用すると安全に管理できます。

パスワード管理ツールやシングルサインオンは月数百円程度〜で利用可能です。

現在のパスワード管理状況を踏まえたうえで、導入を検討してみるのはいかがでしょうか。