その他 securitynavi

安全なパスワードの作成方法と管理のコツ・強度のチェック

security_2163







パスワードの安全性と・強度について考えてことはありますか? 難しいパスワードは覚えられないから簡単なパスワードを設定している人がおられます。

クレジットカードを取り扱うWebサイトにカード情報を登録している場合、もしパスワードを破られてしまえば金銭的な被害を受けることになります。

そのような被害に遭わないために、攻撃者に破られにくいパスワードの作成方法や変更時の注意点。また、パスワードの安全性・強度をチェックしてくれるツールについて説明します。

かんたんなパスワードが危険な理由とは?

ちょっと前まではパスワードといえば銀行口座の4ケタくらいでしたが、最近はSNS、クラウド、クレジットカード、ネットバンキングなど…スマホやパソコン、さまざまなサービスでパスワードやIDが必要になりました。

これらのサービスには絶対に漏れてはいけない重要なものと、特に重要でないサービスのものとがあります。重要度がちがうのに同じパスワードを使いまわしていると、思わぬ情報漏えい被害につながることがあります。

過去には、パスワードの強度が低かったためにこんな不正ログインが実際に起きています。

企業 発生日 内容
佐川急便 2014年9月 Webトータルサポートにおいて、約3万4000アカウントへの不正ログインを確認。会員情報が閲覧された可能性。
JR東日本 2014年8月 短い期間に約30万件の大量アクセスを受け、756アカウントへの不正ログインが判明。会員情報を閲覧されていた可能性がある。同年3月にも大量のアクセスがあり、約92万件のログイン失敗があったことが判明している。
LINE 2014年6月ごろ 不正ログインによるアカウントの乗っ取り被害が続出。ユーザーになりすまし、友人に電子マネーの購入を促して金銭を搾取するという手口で、実際にだまし取られる被害も出た。被害額は約2800万円(2014年10月警視庁発表)
パナソニック 2014年4月 CLUB Panasonicの約7万8000件のアカウントに不正ログインされ、個人情報を閲覧された可能性があることが判明。
ソフトバンクモバイル 2014年2月 My Softbankで344件のアカウントに不正ログインされたことを確認。個人情報を閲覧された可能性がある。

つい最近も、女性タレントがブログのパスワードを「自分のニックネーム+生年月日」にしていたところ、不正ログインされてしまい情報を見られたという被害が起きています。

もしこれが、住所や銀行口座の情報が登録されているアカウントだったら…いちど漏れてしまうと、お金も絡む大きな損害になってしまいます。

「安全なパスワード」の作り方と管理の方法を知ることは、ハッキングから身を守るためにとても重要です。

安全なパスワードを作るポイント

(1)推測しにくい文字列にする
(2)数字や記号、大文字などを混ぜる
(3)パスワードを使いまわさない
(4)最低8文字以上にする

(1)、(2)は辞書攻撃(辞書や人名リストに載っている単語を自動処理で片っ端から入力し試す方法)・総当たり攻撃(ブルートフォースアタック:考えられるすべてのパターンを試す方法)に対しての対策。

(3)は、近年急増しているパスワードリスト攻撃を防止するための対策です。
また文字数を1つ増やすだけで、ハッキングされる可能性を大きく減らせます。特に重要なサービスは、10文字以上にしたほうが良いでしょう。

パスワードを洗い出す

まず最初にすべきなのは、利用しているパスワードの洗い出しです。日常的に使っているWEBサービスはすぐリストアップできても、利用頻度の低いサービスや、一度利用して放置しているものは、そう思い出せないのではないでしょうか。

しかし簡単なパスワードのまま放置してしまうと、不正ログインされても気づけず、被害の広がる恐れがあります。登録時の連絡メールや記憶をたどって、すべてリストアップしてみましょう。

また、利用しないサービスは退会・解約しておくことをおすすめします。

サービスのランクでパスワードを使い分ける

「パスワードの使いまわしは危険」といわれても、たくさんのサービスでパスワードが必要な今、すべてのサービスで違うパスワードにすることは難しいです。そこで、サービスの重要度によってパスワードを決める方法があります。

そのサービスの重要度によって、設定するパスワードの複雑さを変えると、覚えやすくなります。

ランク付けの例

Aランク(重要度の高いサービス)

個人情報(住所)の登録がある、金銭に直結する(クレジットカードや銀行)、ポイントのやり取りをするサービスなど不正ログインされると、金銭的な被害にあう危険があります。

「より強力なパスワードの作り方」を参考に、10文字以上の複雑なパスワードを設定します。

Bランク(重要度中くらいのサービス)

SNS、ブログ、メールなど不正ログインされると、なりすましにより不正利用される危険があります。パスワードの使いまわしは避けます。

Cランク(重要度の低いサービス)

個人情報などを含まないサービス(メールマガジン、無料会員サイトなど)情報が漏れたときのリスクは低いので、文字数の少ないパスワードの設定や、多少の使いまわしはOKとします。

覚えやすく安全なパスワードを作る方法

好きな本や歌のタイトル、名言を元にする

ただし、数字や記号などもかならず含めるようにします。

そのサービスの文字を追加する

数字とアルファベットを組み合わせた基本のパスワードに、サービス名のアルファベットを追加します。

[例]
Amazonなら「am」など

ただ、略称だけで使い分けるのは危険です。Facebookのパスワード末尾を「fb」としていて、そのパスワードが流出したら、末尾が「tw」ならTwitterのパスワードだとカンタンにバレてしまうためです。WEBサービスごとでユニークにするには、それなりに複雑な組み合わせにしなくてはなりません。

より強力なパスワードの作り方

絶対に漏れてはいけないサービスのパスワードにおすすめです。

1.1~2つの文を考え、英語またはローマ字表記に変換する

例:Tomorrow want to go to sea. (明日は海に行きたい)
英語が苦手な方など、翻訳機能(https://translate.google.co.jp/)を使えば日本語をすぐ英語に変換できます。

2.スペースを消し、単語を短縮orつづりをわざと間違えたものにする

例 Tomorawantogtse.
または、頭文字をとる
例 twtgts

3.どこかに数字を追加して、完成

例 tomorawantogtse. 0217
5561twtgts

◆いっそ覚えることを諦めて、何の意味を持たない文字列でパスワードをつくる
この方法なら安全度は高くなります。意味のない文字列を記憶するのは難しいので、運用・管理の方法を工夫しましょう。

◆パスワード作成ツールを使う
専用のツールを使えば、複雑なパスワードをすぐに作れます。WEBサービスや管理アプリの付属機能で作成できます。強度や文字数の設定もできます。

このようなツールを利用すれば、同じパスワードを使い回す悪循環から抜け出せるでしょう。

luft

http://www.luft.co.jp/cgi/randam.php

2段階認証を使う

近年、WEBサービスで「2段階認証」というシステムを導入するところが増加しています。このしくみはGoogleアカウントやMicrosoftアカウント、AppleIDやFacebookなどで導入されています。

2段階認証の仕組みとは

WEBサービスにパソコンでログインする例

  1. WEBサービスのユーザーID・パスワードをパソコンで入力する
  2. WEBサービスに登録しておいた携帯電話などへ、認証コードが送られる
  3. パソコン側でその認証コードを入力すると、WEBサービスへログインできる。一度認証すれば、今後そのパソコンで認証コード入力は省略ができます。
2段階認証では、一度だけ利用できる「ワンタイムパスワード」の入力が必要です。もしユーザーIDとパスワードが盗まれたときでも、攻撃者はワンタイムパスワードを知ることができません。

使っているWEBサイトに2段階認証があれば、適用することをおすすめします。

※注意点:万一のときの手段を確保しておく

セキュリティを2段階認証で高めることができるものの、スマートフォンが手元にないときや、紛失してしまったらログインできません。このような場合に備えて、ほかの手段も確保しておきたいものです。

Googleアカウントの場合

  • バックアップ用の電話番号を登録しておく
  • 事前にバックアップコードを発行しておく
バックアップ用の電話番号は、携帯電話でなくてもOKです。音声の読み上げにも対応しているので、固定電話でも利用できます。

また、バックアップコードの発行は10個までおこなえます。各1回しか使用できないので、全部使ってしまったら新たなバックアップコードを発行します。

複数のWEBサービスの2段階認証を、毎回メールで受け取るのではなく、アプリでコードを表示する方法もあります(ワンタイムパスワード管理アプリ)。GoogleアカウントやDropbox、Evernoteといった複数のサービスの確認コードは、ひとつのアプリで表示可能です。

こんなパスワードはNG!

サイバー攻撃では、瞬時にパスワードを解読するツールが使われます。その精度は私たちの想像以上に高く、何億通りもの文字の組み合わせを片っぱしからためす攻撃(ブルートフォースアタック)などから守る必要があります。

そのため、こんなパスワードは破られる危険があります。重要なサービスのパスワードでは、特に使わないようにしてください。

1. 6文字以下である(短い)

2. 個人情報が含まれている

例 自分の名前、あだ名、家族やペットの名前、誕生日、免許証やパスポート番号、住所など

3. 連続またはくり返しの文字

例 12345678、1111、abcdef、キーボードの隣にある文字(asdfgなど)

このようなパスワードを使用する人がいまだに多いのは、「複雑だと忘れてしまう」ためでしょう。しかしこのようなパスワードを設定することは、情報をほぼ丸裸で攻撃者に渡していることと同じくらい危険です。

パスワード管理サービスを提供する米SplashDataは1月19日、インターネットで多用されている「最悪なパスワード」2015年版ランキングを発表しています。

worst_passwords2015

4. 同じパスワードの使い回し

最近の不正ログイン被害は、ほぼこれが原因です。1つのパスワードを見破られると、芋づる式に他のパスワードもバレてしまいます。

ほかのWEBサイトで使用されたパスワードリストを入手した攻撃者は、そのパスワードを使用して別のWEBサービスへ不正ログインをおこないます。同じパスワードを流用していると、つぎつぎに複数のサービスで攻撃される危険があるのです。

すると、登録されている氏名や住所、電話番号、職場などの個人情報まですべて見られてしまいます。

どれほど複雑なパスワードであっても、一度破られれば意味がありません。面倒だからといって、同じものを使い回すのはたいへん危険です。

5. 辞典に載っている単語のみのパスワード(辞書攻撃)

特に危険な例:password、hello、konichiwaなど

また「IlikeAppleGrape」のようなパスワードは15文字あるので、ブルートフォースアタックは防げるかもしれません。しかし、辞書にあるような安易な単語の組み合わせなので、辞書攻撃では見破られる恐れがあります。

6. 文字から記号になるものの使用

例:「0」と「o」、「i」や「1」を「!」にするなど

7. 単語のスペルを逆さにしたもの、省略語、ありがちなミススペル

8. わかりやすいキャラクターや有名人の名前

9. IDやユーザー名、ログイン名と同じパスワード(Joeアカウント)

パスワードの定期変更・「秘密の質問」に注意!

かんたんな定期変更が無意味な理由

アメリカの科学研究機関NISTのコンピューターセキュリティ部門「CSD」は、「パスワードの定期変更をすべきでない」と、2016年に発行した文書「800-63B」で明記しています。

その理由は、ユーザーがパスワードを定期的に変える際、「数字を1つ追加するだけ」などの予測しやすい変更をする場合が多いことであると考えられます。

対策方法は?

推測されにくい数字や単語を追加する(親戚の誕生日、趣味に関する単語など)

「秘密の質問」の設定にも注意

秘密の質問とは「初めて飼った動物の名前は?」など、パスワードを忘れたときのために質問の答えを設定しておき、答えが合致すると仮パスワードなどを発行できるシステムです。この「秘密の質問」は便利なので設定できるサービスは多いです。

しかし覚えやすいようにかんたんな答えを設定している人が多く、第三者に破られる危険があります。

最近はSNSで自分の情報を公開している人も多く、答えを推測される恐れがあります。“秘密の質問の安全性は低い”ことについて、IPAやGoogleも発表しています。

対策方法は?

答え+自分にしかわからない言葉を追加する

複雑なパスワードでも、こんなところから漏れる危険!

複雑なパスワードを設定しても、次のような行動で他人に知られないよう注意しなければなりません。

  • ふせんにパスワードを書いてパソコンなどに貼らない
  • パスワードのメモを机上に置いてその場を離れない
  • 会話のなかで人に教えない
悪意の有無に関係なく、身近にいる人から漏えいするリスクはあります。また悪意ある人物は、こんな方法でパスワードを盗み見ようとします。
  • パスワードを打つ手元やディスプレイの盗み見(ショルダーハッキング)
  • 小型隠しカメラの設置(キーボードが映るよう天井に設置するなど)
  • 社員や取引先なりすまし、電話で聞き出す
  • ゴミ箱の物色(スキャベンジング)

対策方法

  • 手元にカバーをかけて入力する
  • 指紋や生体認証つきのパソコンにする
  • 電話でパスワードを聞かれても教えない
  • メモや書類はシュレッダーしてから捨てる

強力なパスワードか?チェックする方法

作成したパスワードは、その安全性・強度を利用前にチェックしておきましょう。パスワードの安全性・強度チェックをしてくれる便利なツールがあります。いくつか種類がありますが、ここではマイクロソフト、カスペルスキー、インテルのチェックツールをご紹介します。

マイクロソフトのチェックツール

security_28

パスワード チェッカー: 強力なパスワードの使用 | Microsoft セーフティとセキュリティ センター
https://www.microsoft.com/ja-jp/security/pc-security/password-checker.aspx

安全で強度なパスワード作成のアドバイスと、チェックを行ってくれるツールです。「弱い」「普通」「強い」「とても強い」の4段階から判定してくれます。

カスペルスキーのチェックツール

security_27

SECURE PASSWORD CHECK
https://password.kaspersky.com/jp/

ロシアのセキュリティソフト会社、カスペルスキー社のパスワードチェックルーツです。安全性と強度を10段階で評価してくれるツールです。また、何年かからなければ解読されることはないと、年数(世紀)を示してくれます。

インテルのチェックツール

security_29

How Strong is Your Password?
https://www-ssl.intel.com/content/www/us/en/forms/passwordwin.html

インテル社のパスワードチェックツールです。入力したパスワードはインテル側に渡されません。しかし、実際に使っている本物のパスワードを入れないようにしてください。英文で注意書きがあります。

まとめ

  • 最低8文字以上の複雑なパスワードを設定する
  • 重要なサービスでは使いまわしはしない
  • パスワードの定期変更、「秘密の質問」も推測されにくいものに設定する
今の時代、パスワードしっかり設定することは、サイバー攻撃や犯罪の被害にあわないためにかならずおこなわなければならないセキュリティです。

簡易なパスワードはすぐに破られてしまい不正ログインの被害に遭う可能性が高くなります。また、金銭的な被害を受けるかもしれません。

もし、簡易的なパスワードをお使いでしたら、見直してみてください。




security_2163

RELATED