パスワードを作成する際、大文字や小文字、数字などを利用し、複雑な組み合わせで生成すれば問題ないと判断するのは、大変危険な考え方です。なぜなら、その思い込みがパスワードのセキュリティ性を弱体化させ、サイバー犯罪につながりやすい状態となっている可能性があるからです。パスワードを作成するにあたり、次のような状態に陥っていないでしょうか。

  • 大文字と小文字でパスワードを形成すれば、高い安全性が確保できると思い込んでいる
  • 暗号を考えるにあたって、やってはいけないことがわからない
  • 最も安全なパスワードとは、どのようなものか専門家から話を聞いておきたい

もし、上記のような考えにひとつでも思い当たることがあるのなら、正しいパスワードの作り方について学んでください。今回は、セキュリティの専門家が最も安全なパスワードの作り方について解説します。

パスワードの暗号解読にかかる時間

ウェブルートの上級セキュリティアナリストであるRandy氏は、暗号解読に関する興味深いテストを実施しました。テストの実施内容は、下記の通りです。

  • 大文字と小文字、数字、記号を含む8文字で作成できるパスワードをすべて数える。
  • 上記に沿って作成可能な組み合わせは、95の8乗通り(6,634,204,312,890,625個、つまり約6600兆個)。
  • ハッカー、またはサイバー犯罪者が総当たり攻撃(ブルートフォースアタック)で解読を開始する。
  • 1秒間で310億個のパスワードを検証できる。
  • 複雑な8文字のパスワードなら、解読に約2日半の時間がかかる。

一般的に複雑と考えられているパスワードでも、たったの約2日半で解読可能であることがわかりました。あるサービスが“パスワードは、8文字で作成してください”と要求した場合は、初期の段階で70兆6000億個が除外されることになります。

なぜなら、1文字~7文字のパスワードをあらかじめ計算から除外できるからです。よって、パスワードの解読にかかる時間は、2277秒(約38分)短縮されます。

大文字と小文字のパスワードは、危険?

一般的に、大文字と小文字から形成されるパスワードは、安全であると考えられています。ほとんどの方が解読に時間がかかると考え安心してしまうのでしょう。しかし、本当にそうでしょうか?たとえば、大文字と小文字のパスワードである以上、下記の条件が成立します。

  • すべて大文字のパスワードは、除外。
  • すべて小文字のパスワードは、除外。

これにより、全体のパスワード数が大幅に減少してしまいます。他にも、パスワード作成時に記号や数字が使えないことがありますが、あのような条件は、総当たり攻撃を容易にしてしまう可能性があります。

そのため、“大文字と小文字を絶対に使わなければいけない”という条件を課すことは、危険性を高めてしまうことにつながります。

パスワード作成における禁止事項とは?

近年、TwitterやFacebookなどのソーシャルメディアやブログサービス、金融機関サービスへのログインなどで、IDやパスワードの作成を求められる機会が増えてきました。個人情報の流出を防止するためにも、強固なパスワードの作成が欠かせません。

では、どのようなことがパスワードの作成で禁止されているのでしょうか。ここでは、パスワード作成における禁止事項についてご説明します。

生年月日を利用する

よくありがちなのが生年月日を利用するというものです。自分の誕生日であれば忘れることはないでしょう。もしくは、家族の名前や住所、親戚の生年月日などは、大変覚えやすいですが、ブラックハッカーから推測されやすくなります。

“自分の生年月日ではないから大丈夫。”、“自分の住んでいる土地の住所ではないから大丈夫。”と勝手な思い込みで安心していると、パスワードを簡単に解読されてしまうため注意が必要です。

簡単な英単語を利用する

パスワードの一覧を見ていると、簡単な英単語が使われていることがあります。英単語は、通常の言葉よりも、非常に推測されやすく危険とされています。なぜなら、辞書に登録されているからです。代表的なものをいくつか挙げるとするならば、下記の通りです。

  • banana1
  • grape2
  • orange3

上記のようなパスワードは、絶対に使ってはいけません。すぐに解読され、個人情報の漏洩につながってしまいます。

小文字のアルファベットに限定して利用する

先ほどもお伝えしましたが、小文字や大文字、記号など、何かに限定してパスワードを作成することは、非常に危険です。自由にパスワードの入力を求められているのであれば、さまざまな文字を利用しながら、複雑な暗号を形成してください。

他で使っているものを使い回す

さまざまなインターネットサービスを利用していると、どうしてもパスワードを使い回したいという気持ちになります。しかし、IDやパスワードを使い回していると、ひとつ解読された時点で多くの被害が発生することになります。

他のサービスで使用したパスワードは、絶対に使用しないと決めておかなければ、ブラックハッカーによる被害の拡大を抑えるのは難しいでしょう。

総当たり攻撃されない安全なパスワードとは?

パスワードの作成時に、やってはいけないことについて確認しました。では、どのようなパスワードであれば、安全でしょうか。そして、どうすれば複雑なパスワードを覚えておくことができるのでしょうか。ここでは、総当たり攻撃されない安全なパスワードの作り方や覚え方をご説明します。

安全なパスワードの作り方

上級セキュリティアナリストであるRandy氏は、大文字や小文字、記号の組み合わせに悩むくらいであれば、より長いパスワードを選ぶ方が良いと明言しています。パスワードは、長ければ長いほど、暗号の解読に時間がかかります。

たとえば、小文字の16ケタのパスワードと4つの文字セットの8ケタのパスワードであれば、その組み合わせの差は、650万倍となります。そのため、パスワードの長さが安全なセキュリティ性を保つうえでの大きな秘訣となっています。

ジェネレーターを利用すれば、パスワードを忘れない

難しいパスワードを作成した結果、大切な暗号を忘れてしまった経験のある方もいるでしょう。そのような方は、パスワード管理を専門とするジェネレーター(自動生成ツール)を利用して、大文字、小文字、数字、記号をすべて混ぜた16文字以上のパスワードを作ってください。

パスワード管理ツールがあれば、どれだけ難解なパスワードでも暗記できます。しかし、16文字以上のパスワードでも、時間をかければ解読できます。そのため、2段階認証で2重のセキュリティを加えて、安全性を高めるように心がけてください。

セキュリティソフトでパスワードの安全性を高めよう!

最も長く複雑なパスワードを考え、2段階認証をしたとしても、万全であるとはいえません。あくまでも従来よりも解読に時間がかかってしまう程度の対策にしかなりません。では、どうすれば、サイバー犯罪による脅威から個人情報を守ることができるのでしょうか。

ウェブルートでは、お客さまのパスワードを暗号化するセキュリティソフトの導入を推奨しています。弊社のセキュリティソフトには、ユーザ名やアカウント番号、その他の個人情報を保護する高度な盗難保護機能が搭載されており、IDやパスワードなどのログイン情報を暗号化できます。

他にも、個人情報の入力を要求する偽サイトをブロックする機能が搭載されているため、パスワードを盗み取られるなどの被害を格段に抑えることができます。ぜひ、インターネット セキュリティプラスを導入して、安全なネットライフをおくりましょう。

Webroot Japan

About the Author

Webroot Japan

Webroot Japan

ウェブルートブログは企業や個人ユーザーのサイバーセキュリティ対策に役立つな最新の脅威インテリジェンスやサイバー脅威の対策など様々な情報をお届けさせていただきます。

Facebook Comments