セキュリティ

完璧にパスワードを設定するための4つの方法


インターネットを介して映画を見たり、銀行の口座をチェックしたりといったウェブサービスを利用するには、IDとパスワードが必要になります。しかし、パスワードが一度流出したり解析されたりしてしまうと、個人情報が世界中に拡散されてしまう危険性もあります。IT系ニュースサイトであるPCWorldが、パスワードをより安全なものとするために気を付けるべき点を4つをあげています。

How to pick the perfect password | PCWorld
https://www.pcworld.com/article/3604059/how-to-pick-the-perfect-password.html

◆1:パスワードはできるだけ長くする
パスワードマネージャーを開発するNordPassが発表した、2020年に最も使われていたパスワードは「123456」でした。他にもさまざまなパスワードがランクインしていますが、どれも非常に単純で短く、一瞬にして解読される危険性があります。

2020年に最も使われたパスワードは何だったのか?常連に加えて新顔も登場 - GIGAZINE


PCの演算能力を駆使して毎秒何億パターンものパスワードを推測することで、パスワードは簡単に解読できてしまいますが、文字数が多ければ多いほど解読の難度は上がります。以下の表は、パスワードのクラックを請け負うセキュリティ企業のTerahashが公開した、パスワードのクラックにかかる平均時間です。パスワードの文字数が10文字(letter 10)を上回ると、最低でも解析に3日以上かかるので、安全性が高いといえます。


ただし、文字列の内容が誕生日の日付や自分の名前など、予想しやすいものは避けるべき。攻撃者は使われがちな文字列や既知のパスワードを登録しているので、文字数が多くても一瞬で解析される恐れがあります。

また、パスワードをクラックするツールは、基本的に小文字を中心に推測を試みるので、小文字や大文字、数字、%などの特殊文字を組み合わせるだけでクラックされる危険性はぐっと下がります。

さらにPCWorldは、より安全なパスワードを作るための戦略として、以下のようなテクニックを紹介しています。
・好きなことわざやセリフ、自分の好きなアイスクリームの味など、自分にとって大きな意味を持つ一連の言葉を使う。
・外国語の単語を組み合わせる。
・詩や古英語などを組み合わせる。
・本棚に並んでいる本のタイトルを混ぜ合わせて単語を作る。
・FacebookやTwitterなどのSNSでオープンにしている情報は混ぜない。

◆2:サイトあるいはサービスごとに一意のパスワードを作成する
1つのパスワードを使い回していると、もしあるサービスでIDとパスワードが流出した場合、他のサービスも侵害される可能性が出てきます。そのため、「1つのサービスに1つのパスワード」を心掛ける必要があります。


◆3:パスワードは覚えるのではなく管理する
パスワードが増えると覚えるのが難しくなりますが、ChromeやFirefox、Safari、Edgeなど、主要なウェブブラウザには「パスワードを保存して自動入力する機能」が備わっています。そのため、設定したパスワードをいちいち覚えておく必要がありません。

また、ブラウザにパスワードを保存するよりも、LastPassBitwardenPassitなどのパスワードマネージャーを使う方が安全にパスワードを管理できます。パスワードマネージャーはIDやパスワードを暗号化して保存できるツールです。パスワードマネージャーの中にはPCとスマートフォンで連携するものもあり、たった1つのマスターパスワードを覚えておくだけで、デバイスを超えて複数のパスワードを一括管理できます。

◆4:永久に完璧なパスワードは存在しないことを意識する
どれだけ堅牢なパスワードを考えていたとしても、クラックされてしまったら意味がありません。もしパスワードが流出した恐れがある場合は、可能な限り早くパスワードを変更する必要があります。


なお、サービスのログインに使用しているメールアドレスやユーザー名から、個人情報が流出しているかどうかのチェックができるサイトも存在するので、これを使ってIDとパスワードが流出していないかどうかをチェックするのも1つの手です。

自分のメールアドレスやID名で検索するとハッキングされて過去の流出リストに入っていたかどうかがわかる「Have I been pwned?」 - GIGAZINE


最後に、PCWorldは「パスワードの重要性は低下しています。私たちはすでに顔や指紋、電話など複数要素を組み合わせて認証する多要素認証でPCや銀行にログインする時代に生きています。しかし、これらの選択肢はまだ普遍的なものではありません。パスワードが残っている限り、パスワードを解読しにくくすることが重要です」と述べました。

この記事のタイトルとURLをコピーする

・関連記事
ビットコインで億万長者なのにパスワードを忘れて大金に手がつけられないプログラマー - GIGAZINE

名作アクションゲーム「悪魔城伝説」のパスワードはどうやって生成されているのか? - GIGAZINE

人気オンラインFPS「CS:GO」にSteamの招待システムを介してアカウントのパスワードを盗まれる脆弱性が判明 - GIGAZINE

人気パスワード管理アプリ「LastPass」の無料版にスマホかPCのいずれかからしか使えないような制限が追加 - GIGAZINE

無料で色々なWebサービスを1カ所で管理できるツール「Slapdash」を使ってみた - GIGAZINE

無料でKeePass上のアカウントから直接リモートデスクトップ接続を行える「KeePassRDP」レビュー - GIGAZINE

・関連コンテンツ

in セキュリティ, Posted by log1i_yk

You can read the machine translated English article here.