不正アクセスの防止には、英数字が混合の複雑なパスワードの利用が効果的です。
ただ、どんなパスワードを作ればいいのか迷うときがあります。そんなときは、ランダムなパスワードを自動生成してくれるツールを使うと便利です。
ツールによっては、文字数、強度、文字の種類を選択することができます。
ここでは、ランダムなパスワードを生成してくれるツール、そのパスワードが安全かどうかを確認する方法、さらに不正アクセスされにくいパスワード設定のコツをご紹介します。
パスワードに迷っている方、不正アクセスされたことがある方は必見です。
カンタンなパスワードは不正ログインされる?
カンタンなID・パスワードを設定していると、不正ログインされやすくなります。しかし、そもそも第三者から不正ログインされてしまう原因はなんでしょうか? 多くはつぎの3つです。
IDとパスワードが見破られた
これは、いわゆる「総当たり攻撃」「辞書攻撃」というサイバー攻撃でログインされてしまったケースをいいます。それぞれどんな攻撃か解説します。
総当たり攻撃
サイバー攻撃者がツールを使って、IDとパスワードをランダムで入力していき、合致したらログインされてしまうというサイバー攻撃です。
辞書攻撃
こちらも同様にツールで、辞書に登録されている単語(たとえばappleなど)をすべて使って、ログインできるか試していく方法。
こういった攻撃を実行するツールは、いくつもの組み合わせをすさまじい速さで試行していきます。そのため、ありがちでカンタンな単語を使う、文字数が少ない、などのパスワードを使っていると、早ければ数分で特定されてしまうのです。
他サイトで流出してしまった
他サイトで情報が流出するケースや、悪質なサイトだと利用者のメールアドレスなどを、故意にほかの業者へ売り払う場合があります。
流出するとそのID・パスワードの組み合わせが裏取引されたりして、さらにほかの業者にも拡散されてしまいます。とくに、ほかのサービスでも同一のID・パスワードを使用していると、被害が拡大します。
フィッシング詐欺サイトで誤って入力
フィッシング詐欺とは、悪意ある攻撃者が銀行などの本物そっくりのサイトを用意し、そこに利用者を誘導してID・パスワードを入力させて盗むという詐欺手法です。
本物と間違って入力してしまうと、その情報が悪意ある攻撃者に送信され、そのまま不正ログインに悪用されてしまいます。
これらの不正アクセスから大切な情報を守るためには、ランダムに生成したパスワードを利用することが一定の効果を発揮するのです。
突破されにくい、強いパスワードとは?
第三者からの不正ログインを防ぐには、「強いパスワード」を設定することが先決です。では、強いパスワードとはどんな特徴を持つのでしょうか?
英数字が混合するなど複雑で長い
パスワードがカンタンで短いと、「総当たり攻撃」でカンタンにパスワードを特定されてしまいます。そのため、英語や数字を混ぜて長くし、また可能であれば大文字小文字を混ぜたり、記号などを入れたりしましょう。8文字以上が望ましいです。
よくある単語を使っていない
英語でパスワードを設定するというと、カンタンな単語からつくろうと考える方が多いです。たとえば「dog」や「cake」など、ありがちな単語を入れていませんか?このようなパスワードは、辞書攻撃により瞬殺で特定されてしまいます。
IDとパスワードを同じにしない
なかには、IDとパスワードを同一のものにしている方もいます。しかし、これももちろんすぐ特定されてしまいます。また、IDが「abc」でパスワードが「def」など、IDから連想できそうなものもやめましょう。
ランダムパスワードのカンタンなつくり方
セキュリティレベルが高く、第三者から突破されにくいパスワードといえば、長くてランダムな文字列です。その条件を満たすパスワードのつくり方をご紹介します。
パスワード生成ツールを使用
パスワードを自動生成してくれるツールを利用する方法です。文字数も指定できるので、文字数制限を気にする必要はありません。
適当に打ち込んで作成
入力フォーム上で適当にキーボードを叩いてつくるという方法です。「@」「¥」など使用できない記号が入り込んでしまったら、その部分を削除するだけでOKです。
この方法で作成したパスワードは、長ければ長いほど突破されにくく、不正アクセスを防止する効果が高いです。さらに、可能であれば大文字小文字を混ぜるとよいでしょう。ただ、難点は覚えにくいことです。
強固なパスワードをつくっても、忘れてしまわないようにブラウザで保存したり、メモ帳に書き込んだりすることをおすすめします。
覚えやすいパスワードのつくり方
前項のサービスでパスワードをつくったものの・・・複雑で長いものは覚えられない!という方もいらっしゃることでしょう。そんなときは、好きな言葉などをうまく改変・合成して作成する方法がオススメです。
好きな言葉の改変で新しい言葉をつくれば、ランダムのパスワードより覚えやすいですよね。いろいろ工夫して、複雑ながら覚えられるものをつくってみてください。
使用するパスワードが安全か調べる方法
パスワードをつくったとしても、攻撃者がカンタンに突破できるものでは意味がありません。どの程度強度があるのか、ツールでチェックしてみましょう。
»パスワード チェッカー: 強力なパスワードの使用 | Microsoft セーフティとセキュリティ センター
↑このページの「あなたのパスワードの強度は?」にある入力フォームに、使いたいパスワードを打ち込んでみましょう。すると、強度を色で教えてくれます。
弱い(赤):英字のみ、数字のみ
普通(黄):一般的な文字数の英字、数字
強い(緑):長い文字数の英字、数字
とても強い(緑):非常に長く、大文字を含めた英字、数字
弱い~普通だったら、もう少し文字数を増やしたり、数字と英語を混ぜたりしてみるとよいでしょう。
絶対に使ってはいけないパスワードとは?
世界中で多くの人びとが利用していて、すぐ見破られるといわれているパスワードがあります。つぎのような単純なパスワードはすぐに見破られてしまうので、決して使用しないようにしましょう。
- password
- 12345
- abcde
- abc123
- qwerty
- asdfg
- 誕生日
- 電話番号
パスワードはどのように管理すればいい?
複雑なパスワードを設定すると、覚えるのが難しくなってしまいます。そこで、つぎのような方法で管理することをおすすめします。
ブラウザの自動入力機能を使用する
IEやChromeといったブラウザでは、IDとパスワードの組み合わせの記憶が可能です。
サイトの入力欄に入力して送信すると、「保存しますか?」といった表示が出ると思われます。
パスワード管理アプリを使用する
最近は、パスワードを一括管理できるアプリも登場しています。自動入力で記憶できないサービスなどでも利用できたりするのがメリットです。無料でおためし利用できるアプリもあるので、実際に使ってみてもよいでしょう。
手書きのメモなどに書いて管理
ただし、書いたメモは厳重に保管する必要があるでしょう。カギつきの机の引き出しなどがおすすめです。また、パスワードを書くときはそのままではなく、図などで暗号化して、自分しかわからないようにするとさらによいです。
パソコンのメモ帳に書いて保存するという方法もありますが、ウイルス感染して内容が外部に漏れたり、ファイルが破損するなどで開けなくなったりした場合に困る可能性が出てきます。記録するなら手書きのメモのほうがよいかもしれません。
不正アクセスから身を守るコツとは?
強固なパスワードを設定しても、利用しているサイトがサイバー攻撃などを受けたりして情報流出してしまうと、不正アクセスをされる可能性があります。それを防ぐための対処法がこちらです。
定期的にパスワードを変更する
定期的なパスワード変更は不正アクセスの防止に効果があります。面倒かもしれませんが、最低限でもクレジットカード情報など重要な個人情報を登録しているサイトでは定期的な変更をおすすめします。
パスワードを使いまわさない
パスワードを覚えるのが大変だからと、他のサイトで同じID・パスワードを使い回すのは危険です。もしも流出してしまったとき、そのID・パスワードを使われて不正ログインされるだけでなく、その組み合わせが闇取引されてさらに流出する危険性があります。
よりセキュリティを高める設定をおこなう
サイトやサービスによって、ログイン時に「ワンタイムパスワード」や「2段階認証」を利用できる場合があります。これを利用すると、セキュリティレベルをさらに高めることができます。
ワンタイムパスワードとは?
ログイン時に、連携した「ワンタイムパスワードアプリ」で表示されるランダムな数字を入力してログインする方法。このパスワードは1回きりで時間で切り替わるため、推測されにくくなっています。Secure OTPやGoogle Authenticatorが有名です。
2段階認証とは?
これはサイトによって実装されていなかったり、種類が異なったりします。ログイン時にID・パスワードとさらに別の暗証番号を入力する形式、表示される歪んだ文字列を入力するといった形式が一般的です。これらの認証をおこなうことで、全自動ツールを使ったログインを防止しています。
情報流出があったら即座にパスワード変更
セキュリティ対策が厳重そうな大手企業であっても、不正アクセス被害は後を絶たないのが現状です。利用しているサービスでいつ、IDやパスワードが流出するかわかりません。
もし、「個人情報が漏えいしました」といった公式発表があったら、即座にパスワード変更や秘密の質問などを変えておくとよいでしょう。ただし、情報漏えいに見せかけたフィッシング詐欺サイトには注意してください。
こんなサイトはセキュリティがキケン?
パスワードを強固にしても、サイトのセキュリティが弱いと情報流出の危険があります。どのようなサイトが危険なのか知っておき、利用には注意してください。
SSL認証がおこなわれていない
SSL認証とは、利用者の通信を暗号化するシステムを利用しているという証です。どのようなサイトがSSL認証しているかわかるのは、アドレスバーの部分を確認してください。
このようにカギのマークが表示されて、httpではなくhttp「s」と表示されていたら、そこは情報をしっかり暗号化していることがわかります。
とくに通販サイトなど、個人情報やクレジットカードといった重要な情報をやり取りするサイトでこの認証がされていないと、情報流出のリスクが高いです。利用はよく考えたほうがよいかもしれません。
ただし、このSSL認証が適用されていたからといって、確実に安全とは言いきれません。なかには古くなったSSLをそのまま使っていて、あまり効果がない場合もあります。
パスワード設定の文字数が少ない
サイトの利用登録をおこなう際にパスワードが4文字や6文字など、少ない文字数にしか設定できない場合は非常に危険です。
4文字程度のパスワードは、ツールを使えば2分以下で特定されてしまうといいます。文字数が少ないだけでなく、英字のみ・数字のみしか設定できないと、さらに危険です。
まとめ
パスワードはいちいち覚えていられないという理由で、「password」や「1234567」といった文字列を使用している方は、世界中に多数います。たしかに複雑なものだと覚えにくいですが、重要な情報を守るためには面倒も仕方ないのではないでしょうか。
とくに、金銭のやり取りをおこなう「ネットバンキング」や、クレジットカード情報などを登録する「ネット通販サイト」などのパスワードは、複雑で長いものにしておくことをおすすめします。
もちろん、設定したらそれで終わりではありません。定期的に変更して、セキュリティレベルを高めましょう。
