強いパスワードとは?

パスワードやPIN(詳しくはvol.144参照)による認証は、不正利用防止対策の基本中の基本です。しかし、認証を利用する場面の増加に伴い、ひとりが大量のパスワードを保有することになったため、類推されやすい・簡単なパスワードを設定してしまい、パスワードが有効に機能しなくなることがあります。

目次

●IDとパスワードが正しい=正規利用者(本人)と認識されてしまう

2要素認証を利用していない場合、ID(主にメールアドレス)とパスワードさえわかってしまえば、他人のアカウント(サービスやアプリ)を不正に利用することができてしまいます。

その場合、たとえ悪意ある第三者のログインであっても、ID・パスワードは正しいので、サービス側は「本人」として認証してしまいます。

仕事で利用しているサービスやVPN、クラウドなどのアカウントのIDやパスワードを知られてしまって他者にログインされてしまうと、「正規のユーザーになりすまして悪意あるメッセージや投稿を行う」「業務用データを盗まれる・不正に利用される」「管理者権限を悪用されて社内ネットワークに侵入される」など、情報セキュリティ上の重大な事件・事故が発生し、信用の失墜や取引停止など、経営面で甚大な影響がでてしまうおそれがあります。

そのような事態を招かないために、適切な強度をもったパスワード設定や認証方法を採用し、適切に管理することが重要になります。

●パスワードの強化策①
みんなが使うパスワードを設定しない

セキュリティ企業等が公開している情報などを参考にして、「よく使われているパスワード」「過去に漏えいした件数の多いパスワード」「初期設定のまま」を設定するのは避けましょう

よく使われるパスワードの定番には次のようなものがあり、これらのパスワードは簡単に推測され、不正ログインを許してしまうおそれがあるので設定しないようにしましょう。

単純なもの (passward、12345678、abcdefgh、aaaaaaaa など)
キーボードの配列順そのまま (qwerty123、1qaz2wsx、asdfghjk、asdf1234 など)
著名人・キャラクター・ゲーム・サービス・企業などの名称をそのまま設定したもの
意味の通る文章 (myfriend、iloveyou、mynameis など)

●パスワードの強化策②
企業情報や個人情報をパスワードに設定しない

企業名や自身の氏名、または電話番号、生年月日などをそのまま、または簡単に組み合わせただけのパスワードも、容易に類推できてしまうので避けたほうがよいです。

「企業名+電話番号の下4桁(または創業西暦)」「個人名+誕生月日(または誕生西暦)」などはありがちなものであり、ネット情報などから簡単に推測可能なのでリスクがあります。

また、組織内部の重要ファイルへのアクセス制限や管理者権限への認証に、社員であれば誰でも容易に類推できるようなパスワードを設定している場合、権限のない社員の不正なアクセスを許してしまう(内部不正発生の)リスクもあります。また、組織内で複数名が同じパスワードを共有することもあるかもしれませんが、そのために(忘れないように)簡単なパスワードを設定するような運用は安全とはいえません。

●パスワードの強化策③
パスワードを使い回さない

複数のサービス等で同じパスワードを使い回すのはやはり危険です。

攻撃者は認証情報を盗むために様々なサービスに攻撃を仕掛けています。いずれかのサービスで認証情報の入手に成功した場合、そこで入手した(漏えいした)情報はダークウェブなどで、多くの攻撃者に知られてしまい、別のサービスやECサイトなどでログインを試みる攻撃に利用されます。パスワードを使い回していると、複数のサービスで不正にログインされ、被害範囲が大きくなる可能性があります。

●強力なパスワードの作り方とパスワードの漏えい対策の実施

少しでもアカウントの不正利用リスクを低減するためには、次のようなことに注意してパスワードを設定するようにしましょう。

  • 文字列は可能な範囲で長くして、複数の文字種を混ぜ、意味を持たない文字列にする※1
  • ありがちな文字の置換だけで終わらせない※2

※1 内閣サイバーセキュリティセンターは、「ログイン用の場合、英大文字+英小文字+数字+記号をランダムに使った10桁以上」「ファイルの暗号化用の場合、英大文字+英小文字+数字+記号をランダムに使った15桁以上」を推奨しています。ただし、サービス提供者の設定により、設定可能な文字数・文字種が指定されている場合があります。その場合、可能な範囲で複雑な文字列を設定しましょう。

※2 数字を含める場合に「1(イチ)」を小文字の「l(エル)」や大文字の「I(アイ)」」に変えるなどは見破られにくい気もしますが、攻撃者の使用するツールでは簡単に見破られてしまうようです。

また、いくら強力なパスワードを設定していても、第三者に知られてしまっては意味がないので、知られないための対策も不可欠です。例えば、次のような対策を実施しておきましょう。

  • 複数名が使用するブラウザや端末内にパスワードを記憶させない
  • パスワードを書いた付箋やメモを端末や机などに貼らない
  • パスワード管理アプリや手書きの管理台帳に記録しておく
  • 同僚や友人であっても安易にパスワードを教えない
  • 利用中のサービスで情報漏えいが発生した場合は速やかにパスワードを変更する

●2要素認証なども併用する

 IDとパスワードによる認証だけでは防御に限界があるため、多くのサービス等では、「生体認証」「デバイス認証(携帯番号へのショートメールによるワンタイムパスワード発行)」などの認証方法を併用するものが増えています。可能な限り活用するようにしましょう。

●偽の警告メールにはくれぐれもご注意を!

 通常とは異なる端末やブラウザからログインがあった等として、サービスから警告メール(通知)が届くことがありますが、偽の通知(なりすまし、フィッシング)の場合があるのでご注意ください。

 騙されないために、送信元のアドレスや認証情報を確認し、良く使うサービスやサイトはブラウザの『お気に入り』に追加しておき、そこから情報を確認する」「サービス公式アプリを利用するなど、メール内のリンクを使わずに確認するようにしましょう。

『インフォぷりん』のバックナンバー 一覧はこちら

You May Also Like

インフォぷりんVol.144『意外と知らない?パスワードとPIN(パスコード)の違い』

admin