あなたのパスワードは大丈夫？安全なパスワードと危険なパスワード

ITの普及に伴って、様々な端末やサービスが我々に提供されるようになりました。 そんな中で増えていくのがパスワードです。端末が増えるたびにパスワードが増え、何かのサービスに登録する度にパスワードが増え…正直管理しきれません。

しかし金融機関などからは「パスワードが長期間変更されていないから変えろ」とお知らせが来る日々です。 ただでさえ管理しきれないのに、いちいち変更なんてしてられないですよね。もう「パスワードに西暦を付けて更新していけばいいか」ぐらいに思う人も多いでしょう。

しかし真面目にパスワードの事を考えないとそれはそれで危険なのです。 どんなパスワードが危ないか、どんなパスワードにすればいいかを色々見ておきましょう。

どんなパスワードが危ない？

どんなパスワードが危ないかは、一般的なパスワードの解析方法を知るのが早いです。 まずはパスワード解析の手法を学びましょう。

名前や生年月日

パスワードに最もよく使われるのが名前や生年月日なので、手動で解析をしようとする場合はこの辺から当たります。 特に使用頻度が高いのが本人・子供・ペットの情報です。

これは手動でも突破されてしまう可能性があるので、率直に言って止めた方がいいです。

ブルートフォースアタック(総当たり攻撃)

手作業でパスワードをああでもない、こうでもないと入力して解析するのは大変な作業です。 しかしコンピュータを使えば数分で数百万回の試行をすることができます。

最も強固とされる完全ランダムパターンのパスワードでも、このペースで毎日アタックされ続ければいずれは解析されてしまいます。 もしフリーアタックを許すような環境の場合、パスワードの強固さだけで守り切ることはできないでしょう。

かく言う私もテストで作って放置していたサイトのパスワードを破られたことがあります。 特にログ監視などもしていなかったために攻撃に気付かず、テストサイトを踏み台に同じサーバに置いていた全てのサイトを改ざんされたのは苦い思い出です。

辞書攻撃

完全ランダムのパスワードは破るのにとても時間がかかります。 大文字・小文字・数字・記号の組み合わせであれば8桁でも500兆通りになるし、これが20桁30桁ともなると流石に破るのに時間がかかります。 30桁なら仮に1日に1兆通りのパターンを入力しても一生破れないぐらい時間がかかりますからね。

しかし世の中は誰しも完全ランダムパスワードを設定している訳ではありません。 覚えられないとか入力が面倒とかで、意味のあるパスワードを設定しがちです。

例えば「admin」「apple-delicious」「dog-pochi」「tarou2002」「12345678」「iloveyou」など、意味のある・打ちやすい・覚えやすい単語やその組み合わせは割と一般的にも使われているパスワードではないでしょうか。辞書攻撃はそんな人を突いた攻撃です。

辞書攻撃は「apple」「dog」などの辞書にある・パスワードによく使われる単語や人名などを入れたパターンの組み合わせでアタックを繰り返して解析します。 パスワードに関する認識が甘い人を想定した攻撃で、そのようなパスワードに対してはブルートフォースアタックより少ない試行回数で解析できます。

その反面、辞書攻撃は完全ランダムで設定したパスワードには全く通用しません。 この辺の事情も「パスワードは無意味な文字を設定しろ」と言われる所以です。

どんなパスワードを設定すべき？

パスワードは「なるべく長くランダム入力したもの」を「定期的に変更する」のが一番です。 以下はランダム生成した強固なパスワードの例です。

意味のない文字列の組み合わせは辞書攻撃は効きませんし、ブルートフォースアタックでの解析も桁数が多ければ時間がかかります。

更に定期的に変更することで総当たり攻撃を無意味にすることができます。 変更後のパスワードが既に試行したパターンになる可能性がありますからね。

パスワードを設定する際などには「意味のない文字列を設定して定期的に変更してください」などと言われる事が多いと思いますが、このような事情があるからなのです。 ただ入力に物凄い手間がかかる上、暗記することも不可能という欠点がありますが…

なお「パスワードを定期的に変更する必要はない」と言う専門家もいますが、これは定期変更によるパスワードのパターン化や使いまわしによるセキュリティリスクを懸念してのものです。 正しく運用できるなら定期的に変更した方が良いのですが、そうでなければパスワードの流出などがない限りは同じものを使い続けるのも一つの手です。

パスワードが漏れるとマズい所と漏れても被害のない所で使い分けをするのもいいかもしれません。 金融や個人情報に直結するような所は強固なものを設定し、そうでもない場所では適当に設定するなど工夫しましょう。 私も漏れても良いような用途のパスワードは簡単なものを使いまわしています。

パスワードが強固でも安心はできない

仮にどう足掻いても解析できないパスワードを設定したとします。 それではこれで絶対に安心でしょうか？

答えは必ずしも安心とは言い切れません。 どれだけ強固なパスワードを設定しても、漏れれば終わりだからです。

世の中には色々な手法でパスワードを盗もうとする人がいます。 その一例をご紹介しましょう。

偽サイトでパスワードを盗む

スパムメールなどで銀行などの金融機関を名乗り、偽サイトへ誘導してログインを促します。 ここでIDとパスワードを入力してしまうと相手に盗まれてしまいます。

無料Wi-Fiでパスワードを盗む

外でも無料でネット接続できる無料Wi-Fiですが、悪意を持った人が用意していることもあります。 ここを経由してネットに接続してしまうと、ネットでやり取りした際のデータが盗まれ、パスワードを盗まれることもあります。

キーロガーでパスワードを盗む

キーロガーはPCをどのように操作したかの記録が残るソフトです。 このソフトが動いているパソコンで入力した内容は盗み取られるため、パスワードも盗まれてしまいます。

自分の管理下にない端末で迂闊にパスワードなどの情報を入力するのは控えた方がいいでしょう。 なお家庭内や仲間内で使うPCにインストールして身近な人がパスワードを盗むケースもあるみたいですよ。

ソーシャルハッキングでパスワードを盗む

ソーシャルハッキングなんて難しい言葉のように聞こえますが、要はIT技術を駆使しなくてもパスワードは盗まれるという話です。 例えばパソコンの横にパスワードが書かれたメモがあれば、一目見ただけで分かりますよね。

パスワード管理会社を攻撃して盗む

漏洩やハッキングなどにより、企業からユーザIDやパスワードが盗まれるニュースを目にすることもあるかと思います。 パスワードを管理している会社から直接盗まれると、ユーザがいくらパスワードをどうこうしてもどうしようもありません。

これは自分では防ぎようがないですね。 事態が発覚すればまだマシですが、実は盗まれているのに誰もそれに気づかないなんてことになれば最悪です。 そのリストを使って他サービスへのアタックをしたりもするので、もし別のサービスにも同じユーザIDとパスワードを使っていたらそちらも破られます。 そういった時のためにもサービス毎に別にパスワードを設定するのは重要なのです。

堅牢なシステムでも利用者の意識が低ければ簡単に破られます。 またどれだけ注意していても完全に漏洩を防ぐことはまず無理です。

自分のパスワードが解析されたり漏れたりしない気を付けるのはもちろんですが、漏れても被害が最小限になるように対策しておきましょう。