昔は覚えてなければいけない「秘密の合言葉」といえば郵便局の口座の暗証番号くらいでした。
今では銀行口座が増えたばかりでなく、あらゆるツールやサイトのアカウントとそのパスワード(秘密の合言葉)を管理する必要に迫られています。
パスワードの管理方法について
パスワード管理方法はいろいろ考え方があります。今回は私の個人的な考えをご紹介します。
- 守ってること
- 破ってること
- 怪しんでること
守ってること
異なるアカウントで同じパスワードを設定しない
リスト型アカウントハッキングの対策です。攻撃者があるサイトのパスワードを入手した、とします。攻撃者はこのパスワードを利用して他のサイトでも同じパスワードで攻撃を試みるでしょう。被害を他のアカウントに広げないためには同じパスワードを流用しないことが有効です。の考え方は納得できます。
(総務省)リスト型アカウントハッキング(リスト型攻撃):何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いて様々なサイトにログインを試みることで、個人情報の閲覧等を行うサイバー攻撃
破ってること
定期的にパスワードを変更する
パスワードが万が一にも漏えいしたとします。攻撃者があなたのアカウントで悪事を働きます。しかし、いったんばれたとしてもパスワードを変えてしまえば、攻撃者は再びログインできなくなります。の考え方は意味がないと思います。
パスワード入手した攻撃者が悪事を働くのに時間をかけるでしょうか。チャンスを逃さずあっという間に可能な限りの悪事を働くでしょう(情報を盗んだり、なりすましで金銭授受をしたり)。この状況に対して30日や90日ごとにパスワードを変更したところでどれほどの意味があるのでしょうか。むしろパスワードの定期変更を強制されるがゆえに、安易なパスワードを設定してしまう傾向はないでしょうか。例えば今月は「password201804」、来月は「password201805」などです。
記号等をまぜる
英数字のみでなく、記号を混在させることでより複雑さが増して強力なパスワードとなります。の考えは間違ってばかりもないと思いますが、無理に記号を使う意味はないと思います。わかりにくい記号を無理に使用するよりも、パスワードを長くするだけでよいと思います。
例えば
英小文字26文字、英大文字26文字、数字10文字、記号33文字「!”#$%&'()*+,-./:;<=>?@[
]^_`{|} ~」の場合の全95文字で考えます。
英小文字のみ5文字(例:apple)は26^5=11,881,376パターン
全部入り5文字(例:@Pp1e)は95^5=7,737,809,375パターン
となって、確かに複雑にはなっています。が覚えにくいですよね?文字数が同じだったら確かにこの理屈でいいのですが、無理に短くする必要はなくて、例えば
英小文字と半角スペースのみ12文字(i like apple)で27^12=150,094,635,296,999,121パターン
とちょっと文字数を増やすだけで簡単に複雑さを獲得できるのです。長さが倍以上じゃないかよ!と思われるでしょうが、入力時間は大差ないと思います。忘れにくく入力もしやすいというメリットがあります。
紙にメモしない
パスワードは秘密にしていてこそ意味があります。紙にメモなどをとると第三者簡単に漏えいしてしまうのでかならず暗記しましょう。の考えには無理があります。
単純な話で、すべてを暗記することなどできないのです(ゆうちょの暗証番号だけだったらともかく)。ではどうするか?暗記のためにあらゆるアカウントで同じパスワードを使用しますか?上記のリスト型アカウントハッキングの餌食となるでしょう。紙にメモしておけば少なくともネットワーク越しでの攻撃は不可能でしょう。あとは身近な誰かに恨まれないよう注意して、厳重にメモ用紙を保管するだけです。
怪しんでること
ブラウザやツールに登録
アカウントとそのパスワードがあまりに多くなっているため毎回手入力でログインすることは不便極まりないです。ですからブラウザやツールで記憶すると便利です。の考えは確かにわかります。私もちょっとだけ使っています。しかし、ブラウザやツールの設定値が漏えいしない保証はありません。また漏えいした場合はすべてが攻撃者の手に渡るでしょうから損失ははかり知れません。私は少なくともインターネットバンキングなど重要なアカウントとそのパスワードは毎回入力することにしています。
複雑さのための読みかえ
複雑さのために英数記号混在のパスワードを作成すべき、だそうです。しかし覚えにくいですよね?こんな方法があります。「password」ではなく「p@22w0rd」とすればよいのです。「a⇒@」「s⇒2」「o⇒0」などと英字を形の似ている記号や数字に置き換えるといいですよ!の考えには反対です。使うのは自由ですがこれで安心しない方がよいと思います。攻撃者も全パターンを試す時間はないのでよく使われているパスワードのリストを使って突破を試みます。「password」は実際によく使われているようですが、同じように「p@ssword」等も試されるでしょう。すでに知れ渡っているのであまり効果はないと思います。同様に日本語キーボートの「ひらがな」と「英字」の対応付けを利用したパスワードもやめておきましょう。(例:キーボードのひらがなの「ひみつ」を押すと英字の「vnz」となります。人間には読みづらいですが、いったん組み合わせを登録してしまえば攻撃者はものともしないでしょう。
まとめ
セキュリティ対策も時代に合わせて変化するでしょう。定期的なパスワード変更や、aを@で置き換えるなどは有効だった時代もあると思いますが、今となってはあまり価値は無いでしょう(と私は思っています)。
日常で思いのほか多くのアカウントを使用していると思います。ともすればいいかげんに決めてしまうことも多いパスワード。ときどき見直してみてはいかがでしょうか。
2018/4/19追記
とっくの昔に総務省が方針転換していることを知りませんでした。パスワードの定期変更は不要であると明言されています。
パスワードを複数のサービスで使い回さない(定期的な変更は不要)
なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。
なお、上記リンク先にて「安全なパスワードの作成-(2) 英単語などをそのまま使用していないこと」という記述があります。私は十分長ければ英単語そのままでも問題ないと思います。