安易なパスワード
セキュリティ企業Impervaが、情報流出の被害に遭ったパスワード3200万件を分析したところ、安易なパスワードの上位10位を公表した。
- 123456
- 12345
- 123456789
- Password
- iloveyou
- princess
- rockyou
- 1234567
- 12345678
- abc123
弱いパスワード
前述の例は極端であるにしても、弱いパスワード、すなわち第三者が類推しやすいパスワードというものはあります。
独立行政法人情報処理推進機構(IPA)は、以下のようなパスワードを「弱い」としています。
独立行政法人情報処理推進機構(IPA)は、以下のようなパスワードを「弱い」としています。
- パスワードがユーザー名と同じ
- 数字だけのパスワード
- ユーザーIDなどを混ぜただけ
- 辞書にある単語だけで構成されている
- 短すぎるパスワード
- キーボード状で並んだ文字
パスワードは使い回さない
Yahoo!JAPANのサーバは、2013年(平成25年)3月8日までの1ヶ月間に1台のコンピュータが4000万回以上の攻撃を防ぎました。ところが2年ほど前から、実在するIDとパスワードを使い、一度も失敗せず不正侵入に成功するケースが出てきているという。
Yahoo!JAPANと同じID、パスワードを他のサイトでも使い、それが盗まれて不正侵入に悪用されたようだ。
ネット銀行はもちろん、ネット通販やFacebookやTwitterを使う度にIDとパスワードを求められる。覚えきれなくなり、同じものを使い回していることはないだろうか。
米McAfeeの本橋裕次・サイバー戦略室長は、「使い回しは誰もが経験しているのではないか。被害が連鎖的に広がるリスクを覚悟した方がいい」と警告している。
パスワードは、たとえば「ホットスポットでのメールは禁忌」で解説したように、ホットスポット(公衆無線LAN)で盗まれるケースもある。注意しよう。
Yahoo!JAPANと同じID、パスワードを他のサイトでも使い、それが盗まれて不正侵入に悪用されたようだ。
ネット銀行はもちろん、ネット通販やFacebookやTwitterを使う度にIDとパスワードを求められる。覚えきれなくなり、同じものを使い回していることはないだろうか。
米McAfeeの本橋裕次・サイバー戦略室長は、「使い回しは誰もが経験しているのではないか。被害が連鎖的に広がるリスクを覚悟した方がいい」と警告している。
朝日新聞,2013年4月8日より
パスワードは、たとえば「ホットスポットでのメールは禁忌」で解説したように、ホットスポット(公衆無線LAN)で盗まれるケースもある。注意しよう。
2013年(平成25年)7月5日、任天堂の会員制サービス「クラブニンテンドー」で不正なログインが発生した。他社サービスから流出したと思われるIDとパスワードを使用して1500万件以上の不正ログインが試みられ、うち2万3926件で不正ログインが行われたとの。
2013年(平成25年)8月には、じゃらんnet、GREEで相次いで不正なログインが発生した。これらも他社サービスから流出したと思われるIDとパスワードを使用して、数万件単位で不正ログインが行われている。
2014年(平成26年)6月、mixi、ニコニコ動画、LINEで相次いで不正なログインが発生した。これらも他社サービスから流出したと思われるIDとパスワードを使用しているとみられている。
情報処理推進機構(IPA)は、2013年(平成25年)8月1日、パスワードリスト攻撃によって不正ログインの被害が続いていることを踏まえ、パスワードの使い回しをやめるよう呼び掛ける文書を公開した。
しかし、個人が利用するインターネットサービスの数が増加し続ける中、1つ1つ違うパスワードを設定し、運用することは現実的ではない。
そこでIPAは、複数のパスワードを管理する方法として、「自分が利用するIDとパスワードをメモ帳や表計算ソフトでリスト化し、それをZIPなどパスワード付きの電子ファイルに変換する」といった方法を挙げている。金銭に関連する重要なアカウントについては、IDのリストとパスワードのリストを別々に作成し、管理するよう推奨している。
ただしこの場合、パスワードリストのファイルに付けるパスワードはきちんと管理しなければならない。
パスワード管理ツール「RoboForm」を使った管理も考えられる。
しかし、個人が利用するインターネットサービスの数が増加し続ける中、1つ1つ違うパスワードを設定し、運用することは現実的ではない。
そこでIPAは、複数のパスワードを管理する方法として、「自分が利用するIDとパスワードをメモ帳や表計算ソフトでリスト化し、それをZIPなどパスワード付きの電子ファイルに変換する」といった方法を挙げている。金銭に関連する重要なアカウントについては、IDのリストとパスワードのリストを別々に作成し、管理するよう推奨している。
ただしこの場合、パスワードリストのファイルに付けるパスワードはきちんと管理しなければならない。
パスワード管理ツール「RoboForm」を使った管理も考えられる。
対策
IPAは、パスワードの設定・管理方法として、以下の項目をあげている。
- 安易な語句の選択を避ける(ID と同じ文字列など)
- 語数をできるだけ長く
- できる限りアルファベットの大文字小文字、数字、記号を混ぜる
- 辞書に載っていない語句を選ぶ
- 語列に規則性を持たせない
- 個人情報を含むものを避ける(氏名、誕生日、電話番号など)
- 定期的に変更する(初期パスワードをそのまま使わない)
- 絶対に他人に教えない
- パスワードが書いてある紙などを他人の目に触れさせない
強いパスワードをつくる方法
強いパスワードを手っ取り早くつくりたいのであれば、パソコンのプログラムを使うことだ。当サイトでも「PHPでパスワードを生成」でプログラムを紹介している。
ここでつくられるパスワードは乱数を使っているので、強いことは強いのだが、強すぎて人間が記憶するのが大変だ。
そこで、パスワードより長い文字列パスフレーズを使って、パスワードを生成する方法を紹介する。
まず、好きな言葉を頭に思い浮かべてほしい。単語ではなく、文節の長さのあるものがいい。これが「パスフレーズ」になる。
まず、パスワードをつくりたい場所に関連する言葉を思い浮かべる。ここでは、
次に、その言葉をローマ字または英語に置き換えてほしい。
最後に、冒頭から8文字以降については、似た文字を数字や記号に置き換え(l→1、o→0、z→2、a→@)たり、アルファベットの並び順にa→1、b→2・・・i→9と数値に置き換えることを行う。
これなら、パスフレーズと変化の方式だけ覚えておけば、少々時間はかかるものの、強いパスワードを幾つでも用意することができる。
試しに、パスワードの強さを測定するカスペルスキー社「Secure Password Check」でチェックしてみてほしい。「最強」となった。
ここでつくられるパスワードは乱数を使っているので、強いことは強いのだが、強すぎて人間が記憶するのが大変だ。
そこで、パスワードより長い文字列パスフレーズを使って、パスワードを生成する方法を紹介する。
まず、好きな言葉を頭に思い浮かべてほしい。単語ではなく、文節の長さのあるものがいい。これが「パスフレーズ」になる。
まず、パスワードをつくりたい場所に関連する言葉を思い浮かべる。ここでは、
ぱふぅ家のホームページという言葉を思い浮かべたとする。
次に、その言葉をローマ字または英語に置き換えてほしい。
pahookenohomepageこの文字列を前後反転します。
egapmohonekoohapこの処理は、1文字おきに文字を取り除く(phoeooeae)、母音を取り除く(phknhmpg)という方法でも構わないが、パスワードが短くなってしまうので、最初の言葉を長くしておく必要がある。
最後に、冒頭から8文字以降については、似た文字を数字や記号に置き換え(l→1、o→0、z→2、a→@)たり、アルファベットの並び順にa→1、b→2・・・i→9と数値に置き換えることを行う。
egapmohon5k0o8@pこれで16文字の英数記号混在のパスワードが出来上がり。
これなら、パスフレーズと変化の方式だけ覚えておけば、少々時間はかかるものの、強いパスワードを幾つでも用意することができる。
試しに、パスワードの強さを測定するカスペルスキー社「Secure Password Check」でチェックしてみてほしい。「最強」となった。
パスワードは複雑さより長さが大切
2020年(令和2年)2月、米連邦捜査局(FBI)は「覚えにくい短い複雑なパスワードを使用する代わりに、長いパスフレーズの使用を勧める勧告を出した。
大文字と小文字の使用や記号の使用は必須ではなく、長さは15文字以上を推奨している。もちろん使い回しは厳禁だ。
長いパスフレーズが有効であるのは、長ければ長いほど、破るために要する時間と労力が増えるからだ。
パスワードが1文字の場合、数字のみなら10通りの組み合わせしかない。したがって、最大でも10回試行錯誤すれば、パスワードが分かってしまう。英数字なら36通り、小文字を含めると62通りとなる。
これが、英大文字8文字のパスワードにもなれば、約2千億通りの組み合わせになる。
情報処理推進機構(IPA)が2008年(平成20年)に行った試験によれば、パソコンを使って英大文字8文字のパスワードを総当たりで解こうとした場合(ブルートフォース攻撃)、約17日かかったという。英大文字・小文字・数字を混在させれば、8文字でも約50年と、解くのに桁外れに時間が掛かるようになった。
大文字と小文字の使用や記号の使用は必須ではなく、長さは15文字以上を推奨している。もちろん使い回しは厳禁だ。
長いパスフレーズが有効であるのは、長ければ長いほど、破るために要する時間と労力が増えるからだ。
パスワードが1文字の場合、数字のみなら10通りの組み合わせしかない。したがって、最大でも10回試行錯誤すれば、パスワードが分かってしまう。英数字なら36通り、小文字を含めると62通りとなる。
これが、英大文字8文字のパスワードにもなれば、約2千億通りの組み合わせになる。
情報処理推進機構(IPA)が2008年(平成20年)に行った試験によれば、パソコンを使って英大文字8文字のパスワードを総当たりで解こうとした場合(ブルートフォース攻撃)、約17日かかったという。英大文字・小文字・数字を混在させれば、8文字でも約50年と、解くのに桁外れに時間が掛かるようになった。
使用する文字の種類 | 使用できる 文字数 |
最大解読時間 入力桁数 |
|||
---|---|---|---|---|---|
4桁 | 6桁 | 8桁 | 10桁 | ||
英字(大文字、小文字区別無) | 26 | 約3秒 | 約37分 | 約17日 | 約32年 |
英字(大文字、小文字区別有)+数字 | 62 | 約2分 | 約5日 | 約50年 | 約20万年 |
英字(大文字、小文字区別有)+数字+記号 | 93 | 約9分 | 約54日 | 約1千年 | 約1千万年 |
ただし、使用したパソコンは、Windows Vista Business 32bit版、プロセッサ:Intel Core 2 Duo T7200 2.00GHz、メモリ:3GBというものだった。2021年(令和3年)3月現在、ベンチマークテストでトップを走る AMD Ryzen Threadripper 3990Xは約70倍の計算速度を誇るので、英大文字8文字のパスワードは6時間弱で解くことができてしまう。
複数のパソコンを組みあわせたグリッドコンピューティングを使えば、さらに高速に解くことができるだろう。
だが、英大文字・小文字・数字・記号混在の10桁なら、解くのに4万年かかる。
複数のパソコンを組みあわせたグリッドコンピューティングを使えば、さらに高速に解くことができるだろう。
だが、英大文字・小文字・数字・記号混在の10桁なら、解くのに4万年かかる。
参考書籍
パスワード解析完全版 | |||
著者 | Ipusiron | ||
出版社 | データハウス | ||
サイズ | 事・辞典 | ||
発売日 | 2010年06月 | ||
価格 | 3,080円(税込) | ||
ISBN | 9784781700601 | ||
日本初!パスワードクラッキングマニュアル。パスワード認証の仕組みと破り方を一挙公開。 | |||
暗証番号はなぜ4桁なのか? | |||
著者 | 岡嶋裕史 | ||
出版社 | 光文社 | ||
サイズ | 新書 | ||
発売日 | 2005年09月 | ||
価格 | 770円(税込) | ||
ISBN | 9784334033231 | ||
相次ぐ盗難キャッシュカードによる現金引き出し事件。銀行か利用者か、その責任の所在をめぐっての議論がかまびすしい。一方、カードと暗証番号の組み合わせによる「識別」「認証」システムの脆弱性自体も問われ、ICカードやバイオメトリクス(生体認証)など、新セキュリティシステムへの期待が高まっている。しかし、新技術によってカード犯罪はなくせるのか?そもそも問題の本質はどこにあるのか?重要なのは、問題の本質を知り、生活の様々な局面で応用を利かせられる能力を身につけることだ。それが、多くのセキュリティ事故を未然に防ぐ力になるはずだ。 | |||
セキュリティはなぜ破られるのか | |||
著者 | 岡嶋裕史 | ||
出版社 | 講談社 | ||
サイズ | 新書 | ||
発売日 | 2006年07月 | ||
価格 | 946円(税込) | ||
ISBN | 9784062575249 | ||
「なぜ破られるのか」3つの原則。完全な防御ラインは現実的には作れない。防御ラインの内側の異分子には勝てない。セキュリティを考える上で最弱のパーツは人間であるーIT化が日進月歩で進む社会で未知の局面、新しい技術に直面しても、大切な情報、お金、命、名誉…を守るために、この原則をふまえた「セキュリティの考え方」を解説する。 | |||
参考サイト
- パスワード管理ツール「RoboForm」:ぱふぅ家のホームページ
- PHPでパスワードを生成:ぱふぅ家のホームページ
- PHPで覚えやすいパスワードを作る:ぱふぅ家のホームページ
- C++ でパスワード生成機を作る
- Oregon FBI Tech Tuesday: Building a Digital Defense with Passwords:FBI,2019年2月18日
- 強力なパスワードを作る法則とは?:ITmedia,2018年12月14日
- Gawkerからの流出情報から学ぶ「使ってはいけないパスワード」筆頭は?:ITmedia
- 最も安易なパスワードは? 流出情報の分析結果を発表:ITmedia
- Secure Password Check:カスペルスキー
(この項おわり)
※なお、当然のことですが、本項で紹介しているパスワードをそのまま使うことはやめてください。