安易なパスワード
セキュリティ企業 Imperva が、情報流出の被害に遭ったパスワード 3200 万件を分析したところ、安易なパスワードの上位 10 位を公表した。
- 123456
- 12345
- 123456789
- Password
- iloveyou
- princess
- rockyou
- 1234567
- 12345678
- abc123
弱いパスワード
前述の例は極端であるにしても、弱いパスワード、すなわち第三者が類推しやすいパスワードというものはあります。
独立行政法人情報処理推進機構(IPA)は、以下のようなパスワードを「弱い」としています。
独立行政法人情報処理推進機構(IPA)は、以下のようなパスワードを「弱い」としています。
- パスワードがユーザー名と同じ
- 数字だけのパスワード
- ユーザー ID などを混ぜただけ
- 辞書にある単語だけで構成されている
- 短すぎるパスワード
- キーボード状で並んだ文字
パスワードは使い回さない
Yahoo!JAPAN のサーバは、2013 年(平成 25 年)3 月 8 日までの 1 ヶ月間に 1 台のコンピュータが 4000 万回以上の攻撃を防ぎました。ところが 2 年ほど前から、実在する ID とパスワードを使い、一度も失敗せず不正侵入に成功するケースが出てきているといいます。
Yahoo!JAPAN と同じ ID、パスワードを他のサイトでも使い、それが盗まれて不正侵入に悪用されたようです。
ネット銀行はもちろん、ネット通販や Facebook や Twitter を使う度に ID とパスワードを求められます。覚えきれなくなり、同じものを使い回していることはないでしょうか。
米McAfee の本橋裕次・サイバー戦略室長は、「使い回しは誰もが経験しているのではないか。被害が連鎖的に広がるリスクを覚悟した方がいい」と警告しています。
パスワードは、たとえば「ホットスポットでのメールは禁忌」で解説したように、ホットスポット(公衆無線LAN)で盗まれるケースもあります。注意しましょう。
Yahoo!JAPAN と同じ ID、パスワードを他のサイトでも使い、それが盗まれて不正侵入に悪用されたようです。
ネット銀行はもちろん、ネット通販や Facebook や Twitter を使う度に ID とパスワードを求められます。覚えきれなくなり、同じものを使い回していることはないでしょうか。
米McAfee の本橋裕次・サイバー戦略室長は、「使い回しは誰もが経験しているのではないか。被害が連鎖的に広がるリスクを覚悟した方がいい」と警告しています。
朝日新聞,2013 年 4 月 8 日より
パスワードは、たとえば「ホットスポットでのメールは禁忌」で解説したように、ホットスポット(公衆無線LAN)で盗まれるケースもあります。注意しましょう。
2013 年(平成 25 年)7 月 5 日、任天堂の会員制サービス「クラブニンテンドー」で不正なログインが発生しました。他社サービスから流出したと思われる ID とパスワードを使用して 1500 万件以上の不正ログインが試みられ、うち 2 万 3926 件で不正ログインが行われたとのことです。
2013 年(平成 25 年)8 月には、じゃらん net、GREE で相次いで不正なログインが発生しました。これらも他社サービスから流出したと思われる ID とパスワードを使用して、数万件単位で不正ログインが行われています。
2014 年(平成 26 年)6 月、mixi、ニコニコ動画、LINE で相次いで不正なログインが発生しました。これらも他社サービスから流出したと思われる ID とパスワードを使用しているとみられています。
情報処理推進機構(IPA)は、2013 年(平成 25 年)8 月 1 日、パスワードリスト攻撃によって不正ログインの被害が続いていることを踏まえ、パスワードの使い回しをやめるよう呼び掛ける文書を公開しました。
しかし、個人が利用するインターネットサービスの数が増加し続ける中、1 つ 1 つ違うパスワードを設定し、運用することは現実的ではありません。
そこで IPA は、複数のパスワードを管理する方法として、「自分が利用する ID とパスワードをメモ帳や表計算ソフトでリスト化し、それを ZIP などパスワード付きの電子ファイルに変換する」といった方法を挙げています。金銭に関連する重要なアカウントについては、ID のリストとパスワードのリストを別々に作成し、管理するよう推奨しています。
ただしこの場合、パスワードリストのファイルに付けるパスワードはきちんと管理しなければなりません。
パスワード管理ツール「RoboForm」を使った管理も考えられます。
しかし、個人が利用するインターネットサービスの数が増加し続ける中、1 つ 1 つ違うパスワードを設定し、運用することは現実的ではありません。
そこで IPA は、複数のパスワードを管理する方法として、「自分が利用する ID とパスワードをメモ帳や表計算ソフトでリスト化し、それを ZIP などパスワード付きの電子ファイルに変換する」といった方法を挙げています。金銭に関連する重要なアカウントについては、ID のリストとパスワードのリストを別々に作成し、管理するよう推奨しています。
ただしこの場合、パスワードリストのファイルに付けるパスワードはきちんと管理しなければなりません。
パスワード管理ツール「RoboForm」を使った管理も考えられます。
対策
IPA は、パスワードの設定・管理方法として、以下の項目をあげています。
- 安易な語句の選択を避ける(ID と同じ文字列など)
- 語数をできるだけ長く
- できる限りアルファベットの大文字小文字、数字、記号を混ぜる
- 辞書に載っていない語句を選ぶ
- 語列に規則性を持たせない
- 個人情報を含むものを避ける(氏名、誕生日、電話番号など)
- 定期的に変更する(初期パスワードをそのまま使わない)
- 絶対に他人に教えない
- パスワードが書いてある紙などを他人の目に触れさせない
強いパスワードをつくる方法
強いパスワードを手っ取り早くつくりたいのであれば、パソコンのプログラムを使うことです。当サイトでも「PHP でパスワードを生成」でプログラムを照会しています。
ここでつくられるパスワードは乱数を使っているので、強いことは強いのですが、強すぎて人間が記憶するのが大変です。
そこで、パスワードより長い文字列パスフレーズを使って、パスワードを生成する方法をご紹介します。
まず、好きな言葉を頭に思い浮かべてください。単語ではなく、文節の長さのあるものです。これが「パスフレーズ」になります。
まず、パスワードをつくりたい場所に関連する言葉を思い浮かべます。ここでは、
という言葉を思い浮かべたとします。
次に、その言葉をローマ字または英語に置き換えてください。
この文字列を前後反転します。
この処理は、1 文字おきに文字を取り除く(phoeooeae)、母音を取り除く(phknhmpg)という方法でも構いませんが、パスワードが短くなってしまうので、最初の言葉を長くしておく必要があります。
最後に、冒頭から 8 文字以降については、似た文字を数字や記号に置き換え(l→1、o→0、z→2、a→@)たり、アルファベットの並び順に a→1、b→2 ・・・ i→9 と数値に置き換えることを行います。
これで 16 文字の英数記号混在のパスワードが出来上がりです。
これなら、パスフレーズと変化の方式だけ覚えておけば、少々時間はかかるものの、強いパスワードを幾つでも用意することができます。
試しに、パスワードの強さを測定するカスペルスキー社「Secure Password Check」でチェックしてみてください。「最強」となりましたね。
ここでつくられるパスワードは乱数を使っているので、強いことは強いのですが、強すぎて人間が記憶するのが大変です。
そこで、パスワードより長い文字列パスフレーズを使って、パスワードを生成する方法をご紹介します。
まず、好きな言葉を頭に思い浮かべてください。単語ではなく、文節の長さのあるものです。これが「パスフレーズ」になります。
まず、パスワードをつくりたい場所に関連する言葉を思い浮かべます。ここでは、
ぱふぅ家のホームページ
という言葉を思い浮かべたとします。
次に、その言葉をローマ字または英語に置き換えてください。
pahookenohomepage
この文字列を前後反転します。
egapmohonekoohap
この処理は、1 文字おきに文字を取り除く(phoeooeae)、母音を取り除く(phknhmpg)という方法でも構いませんが、パスワードが短くなってしまうので、最初の言葉を長くしておく必要があります。
最後に、冒頭から 8 文字以降については、似た文字を数字や記号に置き換え(l→1、o→0、z→2、a→@)たり、アルファベットの並び順に a→1、b→2 ・・・ i→9 と数値に置き換えることを行います。
egapmohon5k0o8@p
これで 16 文字の英数記号混在のパスワードが出来上がりです。
これなら、パスフレーズと変化の方式だけ覚えておけば、少々時間はかかるものの、強いパスワードを幾つでも用意することができます。
試しに、パスワードの強さを測定するカスペルスキー社「Secure Password Check」でチェックしてみてください。「最強」となりましたね。
パスワードは複雑さより長さが大切
2020 年(令和 2 年)2 月、米連邦捜査局(FBI)は「覚えにくい短い複雑なパスワードを使用する代わりに、長いパスフレーズの使用を勧める勧告を出しました。
大文字と小文字の使用や記号の使用は必須ではなく、長さは 15 文字以上を推奨しています。もちろん使い回しは厳禁です。
長いパスフレーズが有効であるのは、長ければ長いほど、破るために要する時間と労力が増えるからです。Newsweek によれば、たとえば 7 文字のパスワードでは約 0.29 ミリ秒で破られるが、12 文字になると約 200 年、24 文字になると 1800 万年以上かかるといいます。
大文字と小文字の使用や記号の使用は必須ではなく、長さは 15 文字以上を推奨しています。もちろん使い回しは厳禁です。
長いパスフレーズが有効であるのは、長ければ長いほど、破るために要する時間と労力が増えるからです。Newsweek によれば、たとえば 7 文字のパスワードでは約 0.29 ミリ秒で破られるが、12 文字になると約 200 年、24 文字になると 1800 万年以上かかるといいます。
参考書籍
|
パスワード解析完全版 | ||
| 著者 | Ipusiron | ||
| 出版社 | データハウス | ||
| サイズ | 事・辞典 | ||
| 発売日 | 2010年06月 | 
|
|
| 価格 | 3,080円(税込) |
 | |
| ISBN | 9784781700601 | ||
| 日本初!パスワードクラッキングマニュアル。パスワード認証の仕組みと破り方を一挙公開。 | |||
|
暗証番号はなぜ4桁なのか? | ||
| 著者 | 岡嶋裕史 | ||
| 出版社 | 光文社 | ||
| サイズ | 新書 | ||
| 発売日 | 2005年09月 |
|
|
| 価格 | 770円(税込) |
| |
| ISBN | 9784334033231 | ||
| 相次ぐ盗難キャッシュカードによる現金引き出し事件。銀行か利用者か、その責任の所在をめぐっての議論がかまびすしい。一方、カードと暗証番号の組み合わせによる「識別」「認証」システムの脆弱性自体も問われ、ICカードやバイオメトリクス(生体認証)など、新セキュリティシステムへの期待が高まっている。しかし、新技術によってカード犯罪はなくせるのか?そもそも問題の本質はどこにあるのか?重要なのは、問題の本質を知り、生活の様々な局面で応用を利かせられる能力を身につけることだ。それが、多くのセキュリティ事故を未然に防ぐ力になるはずだ。 | |||
|
セキュリティはなぜ破られるのか | ||
| 著者 | 岡嶋裕史 | ||
| 出版社 | 講談社 | ||
| サイズ | 新書 | ||
| 発売日 | 2006年07月 |
|
|
| 価格 | 946円(税込) |
| |
| ISBN | 9784062575249 | ||
| 「なぜ破られるのか」3つの原則。完全な防御ラインは現実的には作れない。防御ラインの内側の異分子には勝てない。セキュリティを考える上で最弱のパーツは人間であるーIT化が日進月歩で進む社会で未知の局面、新しい技術に直面しても、大切な情報、お金、命、名誉…を守るために、この原則をふまえた「セキュリティの考え方」を解説する。 | |||
参考サイト
- パスワード管理ツール「RoboForm」:ぱふぅ家のホームページ
- PHP でパスワードを生成:ぱふぅ家のホームページ
- PHP で覚えやすいパスワードを作る:ぱふぅ家のホームページ
- Oregon FBI Tech Tuesday: Building a Digital Defense with Passwords:FBI,2019 年 2 月 18 日
- 強力なパスワードを作る法則とは?:ITmedia,2018 年 12 月 14 日
- 全てのインターネットサービスで異なるパスワードを!:IPA,2013 年 8 月 1 日
- Gawker からの流出情報から学ぶ「使ってはいけないパスワード」筆頭は?:ITmedia
- 最も安易なパスワードは? 流出情報の分析結果を発表:ITmedia
- Secure Password Check:カスペルスキー
(この項おわり)
※なお、当然のことですが、本項で紹介しているパスワードをそのまま使うことはやめてください。