安易なパスワード
セキュリティ企業 Imperva が、情報流出の被害に遭ったパスワード 3200 万件を分析したところ、安易なパスワードの上位 10 位を公表した。
- 123456
- 12345
- 123456789
- Password
- iloveyou
- princess
- rockyou
- 1234567
- 12345678
- abc123
弱いパスワード
前述の例は極端であるにしても、弱いパスワード、すなわち第三者が類推しやすいパスワードというものはあります。
独立行政法人情報処理推進機構(IPA)は、以下のようなパスワードを「弱い」としています。
独立行政法人情報処理推進機構(IPA)は、以下のようなパスワードを「弱い」としています。
- パスワードがユーザー名と同じ
- 数字だけのパスワード
- ユーザー ID などを混ぜただけ
- 辞書にある単語だけで構成されている
- 短すぎるパスワード
- キーボード状で並んだ文字
パスワードは使い回さない
Yahoo!JAPAN のサーバは、2013 年(平成 25 年)3 月 8 日までの 1 ヶ月間に 1 台のコンピュータが 4000 万回以上の攻撃を防ぎました。ところが 2 年ほど前から、実在する ID とパスワードを使い、一度も失敗せず不正侵入に成功するケースが出てきているという。
Yahoo!JAPAN と同じ ID、パスワードを他のサイトでも使い、それが盗まれて不正侵入に悪用されたようだ。
ネット銀行はもちろん、ネット通販や Facebook や Twitter を使う度に ID とパスワードを求められる。覚えきれなくなり、同じものを使い回していることはないだろうか。
米McAfee の本橋裕次・サイバー戦略室長は、「使い回しは誰もが経験しているのではないか。被害が連鎖的に広がるリスクを覚悟した方がいい」と警告している。
パスワードは、たとえば「ホットスポットでのメールは禁忌」で解説したように、ホットスポット(公衆無線LAN)で盗まれるケースもある。注意しよう。
Yahoo!JAPAN と同じ ID、パスワードを他のサイトでも使い、それが盗まれて不正侵入に悪用されたようだ。
ネット銀行はもちろん、ネット通販や Facebook や Twitter を使う度に ID とパスワードを求められる。覚えきれなくなり、同じものを使い回していることはないだろうか。
米McAfee の本橋裕次・サイバー戦略室長は、「使い回しは誰もが経験しているのではないか。被害が連鎖的に広がるリスクを覚悟した方がいい」と警告している。
朝日新聞,2013 年 4 月 8 日より
パスワードは、たとえば「ホットスポットでのメールは禁忌」で解説したように、ホットスポット(公衆無線LAN)で盗まれるケースもある。注意しよう。
2013 年(平成 25 年)7 月 5 日、任天堂の会員制サービス「クラブニンテンドー」で不正なログインが発生した。他社サービスから流出したと思われる ID とパスワードを使用して 1500 万件以上の不正ログインが試みられ、うち 2 万 3926 件で不正ログインが行われたとの。
2013 年(平成 25 年)8 月には、じゃらん net、GREE で相次いで不正なログインが発生した。これらも他社サービスから流出したと思われる ID とパスワードを使用して、数万件単位で不正ログインが行われている。
2014 年(平成 26 年)6 月、mixi、ニコニコ動画、LINE で相次いで不正なログインが発生した。これらも他社サービスから流出したと思われる ID とパスワードを使用しているとみられている。
情報処理推進機構(IPA)は、2013 年(平成 25 年)8 月 1 日、パスワードリスト攻撃によって不正ログインの被害が続いていることを踏まえ、パスワードの使い回しをやめるよう呼び掛ける文書を公開した。
しかし、個人が利用するインターネットサービスの数が増加し続ける中、1 つ 1 つ違うパスワードを設定し、運用することは現実的ではない。
そこで IPA は、複数のパスワードを管理する方法として、「自分が利用する ID とパスワードをメモ帳や表計算ソフトでリスト化し、それを ZIP などパスワード付きの電子ファイルに変換する」といった方法を挙げている。金銭に関連する重要なアカウントについては、ID のリストとパスワードのリストを別々に作成し、管理するよう推奨している。
ただしこの場合、パスワードリストのファイルに付けるパスワードはきちんと管理しなければならない。
パスワード管理ツール「RoboForm」を使った管理も考えられる。
しかし、個人が利用するインターネットサービスの数が増加し続ける中、1 つ 1 つ違うパスワードを設定し、運用することは現実的ではない。
そこで IPA は、複数のパスワードを管理する方法として、「自分が利用する ID とパスワードをメモ帳や表計算ソフトでリスト化し、それを ZIP などパスワード付きの電子ファイルに変換する」といった方法を挙げている。金銭に関連する重要なアカウントについては、ID のリストとパスワードのリストを別々に作成し、管理するよう推奨している。
ただしこの場合、パスワードリストのファイルに付けるパスワードはきちんと管理しなければならない。
パスワード管理ツール「RoboForm」を使った管理も考えられる。
対策
IPA は、パスワードの設定・管理方法として、以下の項目をあげている。
- 安易な語句の選択を避ける(ID と同じ文字列など)
- 語数をできるだけ長く
- できる限りアルファベットの大文字小文字、数字、記号を混ぜる
- 辞書に載っていない語句を選ぶ
- 語列に規則性を持たせない
- 個人情報を含むものを避ける(氏名、誕生日、電話番号など)
- 定期的に変更する(初期パスワードをそのまま使わない)
- 絶対に他人に教えない
- パスワードが書いてある紙などを他人の目に触れさせない
強いパスワードをつくる方法
強いパスワードを手っ取り早くつくりたいのであれば、パソコンのプログラムを使うことだ。当サイトでも「PHP でパスワードを生成」でプログラムを紹介している。
ここでつくられるパスワードは乱数を使っているので、強いことは強いのだが、強すぎて人間が記憶するのが大変だ。
そこで、パスワードより長い文字列パスフレーズを使って、パスワードを生成する方法を紹介する。
まず、好きな言葉を頭に思い浮かべてほしい。単語ではなく、文節の長さのあるものがいい。これが「パスフレーズ」になる。
まず、パスワードをつくりたい場所に関連する言葉を思い浮かべる。ここでは、
という言葉を思い浮かべたとする。
次に、その言葉をローマ字または英語に置き換えてほしい。
この文字列を前後反転します。
この処理は、1 文字おきに文字を取り除く(phoeooeae)、母音を取り除く(phknhmpg)という方法でも構わないが、パスワードが短くなってしまうので、最初の言葉を長くしておく必要がある。
最後に、冒頭から 8 文字以降については、似た文字を数字や記号に置き換え(l→1、o→0、z→2、a→@)たり、アルファベットの並び順に a→1、b→2 ・・・ i→9 と数値に置き換えることを行う。
これで 16 文字の英数記号混在のパスワードが出来上がり。
これなら、パスフレーズと変化の方式だけ覚えておけば、少々時間はかかるものの、強いパスワードを幾つでも用意することができる。
試しに、パスワードの強さを測定するカスペルスキー社「Secure Password Check」でチェックしてみてほしい。「最強」となった。
ここでつくられるパスワードは乱数を使っているので、強いことは強いのだが、強すぎて人間が記憶するのが大変だ。
そこで、パスワードより長い文字列パスフレーズを使って、パスワードを生成する方法を紹介する。
まず、好きな言葉を頭に思い浮かべてほしい。単語ではなく、文節の長さのあるものがいい。これが「パスフレーズ」になる。
まず、パスワードをつくりたい場所に関連する言葉を思い浮かべる。ここでは、
ぱふぅ家のホームページ
という言葉を思い浮かべたとする。
次に、その言葉をローマ字または英語に置き換えてほしい。
pahookenohomepage
この文字列を前後反転します。
egapmohonekoohap
この処理は、1 文字おきに文字を取り除く(phoeooeae)、母音を取り除く(phknhmpg)という方法でも構わないが、パスワードが短くなってしまうので、最初の言葉を長くしておく必要がある。
最後に、冒頭から 8 文字以降については、似た文字を数字や記号に置き換え(l→1、o→0、z→2、a→@)たり、アルファベットの並び順に a→1、b→2 ・・・ i→9 と数値に置き換えることを行う。
egapmohon5k0o8@p
これで 16 文字の英数記号混在のパスワードが出来上がり。
これなら、パスフレーズと変化の方式だけ覚えておけば、少々時間はかかるものの、強いパスワードを幾つでも用意することができる。
試しに、パスワードの強さを測定するカスペルスキー社「Secure Password Check」でチェックしてみてほしい。「最強」となった。
パスワードは複雑さより長さが大切
2020 年(令和 2 年)2 月、米連邦捜査局(FBI)は「覚えにくい短い複雑なパスワードを使用する代わりに、長いパスフレーズの使用を勧める勧告を出した。
大文字と小文字の使用や記号の使用は必須ではなく、長さは 15 文字以上を推奨している。もちろん使い回しは厳禁だ。
長いパスフレーズが有効であるのは、長ければ長いほど、破るために要する時間と労力が増えるからだ。
パスワードが 1 文字の場合、数字のみなら 10通りの組み合わせしかない。したがって、最大でも 10 回試行錯誤すれば、パスワードが分かってしまう。英数字なら 36通り、小文字を含めると 62通りとなる。
これが、英大文字 8 文字のパスワードにもなれば、約 2 千億通りの組み合わせになる。
情報処理推進機構(IPA)が2008 年(平成 20 年)に行った試験によれば、パソコンを使って英大文字 8 文字のパスワードを総当たりで解こうとした場合(ブルートフォース攻撃)、約 17 日かかったという。英大文字・小文字・数字を混在させれば、8 文字でも約 50 年と、解くのに桁外れに時間が掛かるようになった。
大文字と小文字の使用や記号の使用は必須ではなく、長さは 15 文字以上を推奨している。もちろん使い回しは厳禁だ。
長いパスフレーズが有効であるのは、長ければ長いほど、破るために要する時間と労力が増えるからだ。
パスワードが 1 文字の場合、数字のみなら 10通りの組み合わせしかない。したがって、最大でも 10 回試行錯誤すれば、パスワードが分かってしまう。英数字なら 36通り、小文字を含めると 62通りとなる。
これが、英大文字 8 文字のパスワードにもなれば、約 2 千億通りの組み合わせになる。
情報処理推進機構(IPA)が2008 年(平成 20 年)に行った試験によれば、パソコンを使って英大文字 8 文字のパスワードを総当たりで解こうとした場合(ブルートフォース攻撃)、約 17 日かかったという。英大文字・小文字・数字を混在させれば、8 文字でも約 50 年と、解くのに桁外れに時間が掛かるようになった。
| 使用する文字の種類 | 使用できる 文字数 |
最大解読時間 入力桁数 |
|||
|---|---|---|---|---|---|
| 4桁 | 6桁 | 8桁 | 10桁 | ||
| 英字(大文字、小文字区別無) | 26 | 約3秒 | 約37分 | 約17日 | 約32年 |
| 英字(大文字、小文字区別有)+数字 | 62 | 約2分 | 約5日 | 約50年 | 約20万年 |
| 英字(大文字、小文字区別有)+数字+記号 | 93 | 約9分 | 約54日 | 約1千年 | 約1千万年 |
ただし、使用したパソコンは、Windows Vista Business 32bit版、プロセッサ:Intel Core 2 Duo T7200 2.00GHz、メモリ:3GB というものだった。2021 年(令和 3 年)3 月現在、ベンチマークテストでトップを走る AMD Ryzen Threadripper 3990X は約 70 倍の計算速度を誇るので、英大文字 8 文字のパスワードは 6 時間弱で解くことができてしまう。
複数のパソコンを組みあわせたグリッドコンピューティングを使えば、さらに高速に解くことができるだろう。
だが、英大文字・小文字・数字・記号混在の 10 桁なら、解くのに 4 万年かかる。
複数のパソコンを組みあわせたグリッドコンピューティングを使えば、さらに高速に解くことができるだろう。
だが、英大文字・小文字・数字・記号混在の 10 桁なら、解くのに 4 万年かかる。
参考書籍
|
パスワード解析完全版 | ||
| 著者 | Ipusiron | ||
| 出版社 | データハウス | ||
| サイズ | 事・辞典 | ||
| 発売日 | 2010年06月 | 
|
|
| 価格 | 3,080円(税込) |
 | |
| ISBN | 9784781700601 | ||
| 日本初!パスワードクラッキングマニュアル。パスワード認証の仕組みと破り方を一挙公開。 | |||
|
暗証番号はなぜ4桁なのか? | ||
| 著者 | 岡嶋裕史 | ||
| 出版社 | 光文社 | ||
| サイズ | 新書 | ||
| 発売日 | 2005年09月 |
|
|
| 価格 | 770円(税込) |
| |
| ISBN | 9784334033231 | ||
| 相次ぐ盗難キャッシュカードによる現金引き出し事件。銀行か利用者か、その責任の所在をめぐっての議論がかまびすしい。一方、カードと暗証番号の組み合わせによる「識別」「認証」システムの脆弱性自体も問われ、ICカードやバイオメトリクス(生体認証)など、新セキュリティシステムへの期待が高まっている。しかし、新技術によってカード犯罪はなくせるのか?そもそも問題の本質はどこにあるのか?重要なのは、問題の本質を知り、生活の様々な局面で応用を利かせられる能力を身につけることだ。それが、多くのセキュリティ事故を未然に防ぐ力になるはずだ。 | |||
|
セキュリティはなぜ破られるのか | ||
| 著者 | 岡嶋裕史 | ||
| 出版社 | 講談社 | ||
| サイズ | 新書 | ||
| 発売日 | 2006年07月 |
|
|
| 価格 | 946円(税込) |
| |
| ISBN | 9784062575249 | ||
| 「なぜ破られるのか」3つの原則。完全な防御ラインは現実的には作れない。防御ラインの内側の異分子には勝てない。セキュリティを考える上で最弱のパーツは人間であるーIT化が日進月歩で進む社会で未知の局面、新しい技術に直面しても、大切な情報、お金、命、名誉…を守るために、この原則をふまえた「セキュリティの考え方」を解説する。 | |||
参考サイト
- パスワード管理ツール「RoboForm」:ぱふぅ家のホームページ
- PHP でパスワードを生成:ぱふぅ家のホームページ
- PHP で覚えやすいパスワードを作る:ぱふぅ家のホームページ
- C++ でパスワード生成機を作る
- Oregon FBI Tech Tuesday: Building a Digital Defense with Passwords:FBI,2019 年 2 月 18 日
- 強力なパスワードを作る法則とは?:ITmedia,2018 年 12 月 14 日
- 全てのインターネットサービスで異なるパスワードを!:IPA,2013 年 8 月 1 日
- Gawker からの流出情報から学ぶ「使ってはいけないパスワード」筆頭は?:ITmedia
- 最も安易なパスワードは? 流出情報の分析結果を発表:ITmedia
- Secure Password Check:カスペルスキー
(この項おわり)
※なお、当然のことですが、本項で紹介しているパスワードをそのまま使うことはやめてください。