パスフレーズとは？

パスフレーズとは、複数の単語を組み合わせた10文字以上のパスワードのことを言います。

通常のパスワードとの違いは以下のとおりです。

パスフレーズは、パスワードの弱点を強化するための技術ですが、誰でも推測できる単語のみで組み合わせたり、使い回したりするのは危険です。

なぜなら、パスフレーズを推測しやすい単語で組み合わせると解読が容易になり、使い回せば、パスフレーズが流出した場合に不正アクセスされてしまうからです。

パスフレーズも、パスワードと同様に厳重な管理が必要になります。

そもそも安全なパスワードとは？

安全なパスワードとは」と聞かれて、すぐに答えられる人は多くありません。

総務省によると、安全なパスワードの定義はこのようになっています。

安全なパスワードとは、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいものを言います。

安全なパスワードの作成条件としては、以下のようなものがあります。

(1) 名前などの個人情報からは推測できないこと
(2) 英単語などをそのまま使用していないこと
(3)アルファベットと数字が混在していること
(4)適切な長さの文字列であること
(5)類推しやすい並び方やその安易な組合せにしないこと

引用元 : 総務省　国民のための情報セキュリティサイト　安全なパスワード管理

このことから、「他人に推測されにくく」「単語をそのまま使用しない」「英数字を混ぜて使っている」「適当な長さ（8〜10文字）の文字列」が安全なパスワードと言えます。

パスフレーズが重要視される2つの理由

パスフレーズは、「複雑なパスワードの使い回し防止」・「定期的なパスワード変更をしなくてもよい」という2点から重要視されています。

以前は、複雑なパスワードの使用や定期的なパスワード変更は、数々のパスワード攻撃に対して有効だと考えられていました。

しかし、従来の方法には問題があり、現在は複雑になりすぎないパスワードの使用と、流出の事実がない限りはパスワードの変更はしないことが推奨されています。

なぜ、今まで安全とされてきた複雑なパスワードや定期的なパスワード変更には問題があるのか、詳しく説明します。

（１）複雑なパスワードは使いまわしてしまうから

解読されにくいからと複雑なパスワードにすると、安心感から複数のサイトに使い回す傾向があります。

その場合、1つのサイトでパスワードが流出すると、複数のサイトで不正アクセスされる可能性が高まります。

また、複雑なパスワードは覚えきれず、メモに残すことも多くなります。

メモを紛失すると、同様にさまざまなサイトに不正アクセスされるリスクが高まるため、複雑なパスワードを使用するのはおすすめできません。

メモをしなくても覚えられ、かつ、推測されにくいパスワードを使用し、使い回さないようにしましょう。

（２）定期的なパスワード変更は危険視されているから

定期的なパスワード変更が危険視される理由は、パスワードのパターン化です。

以前は、パスワードを定期的に変更することは、パスワード攻撃防止に有効とされてきました。

しかし、人が覚えられるパスワードには限りがあり、何度もパスワードを変更していると、パスワード自体がパターン化し、推測されやすくなるのです。

現在は漏えいや盗聴の可能性がある場合以外、パスワードはむやみに変えるものではないとされています。

パスフレーズの作成例：ダイスウェア

パスフレーズを作成するときによく使われる、ダイスウェアを紹介します。

ダイスウェアの作成方法は次のとおりです。

1. パスフレーズに使う単語の数を決める
2. サイコロを振る
3. サイコロの数字を5桁の数字にして単語を探す
4. 見つけた単語を組み合わせてパスフレーズにする

方法自体は簡単なものですが、繰り返しの作業になるため多少時間がかかります。

時間に余裕のあるときに、パスフレーズを作成しましょう。

（１）パスフレーズに使う単語の数を決める

ダイスウェアでパスフレーズを作成するときには、まず、何個の単語を使うか決めます。

この数により、サイコロを振る回数が変わるからです。

ダイスウェアの単語一覧表は、6面のサイコロを5回振った数字に該当する単語が並んでいます。

ダイスウェアの単語一覧表（一部抜粋）

      16655     clause
      16656     claw
      16661     clay
      16662     clean
      16663     clear
      16664     cleat
      16665     cleft
      16666     clerk
      21111     cliche
      21112     click
      21113     cliff
      21114     climb
      21115     clime
      21116     cling
      21121     clink
      21122     clint
      21123     clio
      21124     clip
      21125     clive
      21126     cloak
      21131     clock

引用元 : ダイスウェア　パスフレーズ　ホームページ

例えば、6つの単語を使ってパスフレーズを作る場合は、30回サイコロを振る必要があります。

5（1つの単語を作成するために必要な回数）×6（単語の数）=30

サイコロを振る回数を踏まえて、パスフレーズに使う単語の個数を決めましょう。

（２）サイコロを振る

パスフレーズに使う単語の数を決めたら、実際にサイコロを振りましょう。

1つのサイコロを必要な回数振っても、必要な個数のサイコロを用意しても構いません。

しかし、実際に何回もサイコロを振ったり、サイコロを用意したりするのは大変なことではないでしょうか。

そんな方のために、Web上でサイコロを振れるサイトがあります。

「サイコロを振る」とGoogle検索するとツールが使えますので、ぜひ活用してください。

（３）サイコロの目を5桁の数字にして単語を探す

サイコロを振って出た目を5桁の数字としてメモをし、必要な単語の数だけこの作業を繰り返しましょう。

終わったら、「ダイスウェア単語一覧表」と照らし合わせて、メモした5桁の数字はどのような単語になるか探します。

例えば、「21131」でしたら「clock」になります。

単語を見つけたら、次の5桁の数字と単語を照らし合わせ、パスフレーズに必要な数の単語を見つけましょう。

（４）見つけた単語を組み合わせてパスフレーズにする

数字と単語を照会する作業が終わったら、単語同士を組み合わせてパスフレーズにします。

パスフレーズを暗記したら、作成に使用したメモは処分しましょう。

忘れてしまうかも、とメモを保存しておくと、誰かに見られたときや紛失したときに大きなリスクになります。

パスフレーズはパスワードよりも長い文字列になりますが、単語と順番を覚えれば良いので、複雑なパスワードよりも簡単に覚えられることでしょう。

パスフレーズのセキュリティをさらに強化する方法

パスフレーズは、さまざまなツールをともに使うことによって、さらにセキュリティを強化できます。

1. パスワード管理ツールの導入
2. 多要素認証の設定
3. SSO＋多要素認証を使用する

パスフレーズはパスワードよりもパスワード攻撃に強いものですが、それでも万全とは言えません。

解読されにくくても、常にパスワード攻撃の危険に晒されていることに変わりはないのです。

使いやすいツールをパスフレーズと併用して、セキュリティ強化を図りましょう。

（１）パスワード管理ツールを導入する

パスワード管理ツールとは、IDやパスワードを一元管理できるツールのことで、パスフレーズも同様に管理可能です。

パスワード管理ツールの最大のメリットは、マスターとなるパスワードさえ覚えていれば、その他のIDやパスワードは覚えなくても良いことです。

また、設定するときに悩んでしまうパスワードの作成も、管理ツールで行えます。

パスワード管理ツールはパスワードを暗号化して管理するため、手書きのメモやPCやスマホのメモ帳にパスワードを保管するよりも安全です。

今まで、メモ帳やPCやスマホにそのままパスワードを保管していた方は、導入を検討してみるのはいかがでしょうか。

（２）多要素認証を設定する

多要素認証とは、サイトにログインするときにパスフレーズ（パスワード）の他に、別の認証を用いてログインする方法です。

2種類以上の異なった方法で認証することにより、セキュリティ強化が図れます。

多要素認証には以下のようなものがあります。

多要素認証を使用する方法は、サイトにて多要素認証を設定するだけなので簡単です。

設定方法については各サイトで異なるため、該当ページを確認してみてください。

（３）SSO＋多要素認証にする

SSO（シングルサインオン）とは、一回のログインで複数のシステムに認証なしでログインできる方法のことです。

そのため、SSO（シングルサインオン）にパスフレーズを使用すれば、パスワードよりもセキュリティを強化できるうえ、サービスごとのパスワードを覚える必要もありません。

しかし、SSO（シングルサインオン）にもデメリットがあります。

SSO（シングルサインオン）に使用しているパスフレーズが流出した場合、登録されているすべてのシステムに不正アクセスされてしまうという点です。

そのため、SSO（シングルサインオン）を使用する際には、多要素認証と併用することをおすすめします。

パスフレーズで一度認証して、その後に「持っている」「身体的特徴」の認証を用いてログインすれば、セキュリティの強化に繋がります。

SSO（シングルサインオン）は強いアクセス権を持つ認証方法です。

使用したパスフレーズが流出すると被害が大きくなるため、SSO（シングルサインオン）は、なるべく多要素認証と併用するようにしましょう。

まとめ

パスフレーズとは、複数の単語を組み合わせて10文字以上の文字列にしたパスワードのことです。

長い文字列のため、さまざまなパスワード攻撃にも強く、セキュリティ強化に繋がると期待されています。

パスフレーズを作成するには、サイコロを振って出た数字と単語を組み合わせていく「ダイスウェア」が一般的です。

ダイスウェアを使用すれば、パスフレーズに使う単語をわざわざ考える必要がありません。

サイコロを振り単語を組み合わせる簡単な方法で、強固で覚えやすいパスフレーズが作れます。

しかし、パスフレーズも漏えいすると簡単に不正アクセスされてしまいます。

パスワード管理ツールや多要素認証・SSO（シングルサインオン）＋多要素認証などを用いて、パスフレーズの管理は厳重に行いましょう。