1. 情報セキュリティブログ ホーム
  2. セキュリティ虫めがね
  3. セキュリティ虫めがね 第7回 現代のパスワード事情に迫る!攻撃者に負けない強固なパスワードの作り方

セキュリティ虫めがね 第7回 現代のパスワード事情に迫る!攻撃者に負けない強固なパスワードの作り方(1/3)

セキュリティ虫めがね

K子のフレッシュセキュリティ4コマ

クリックで拡大

パスワード認証の広がり

 友人との交流を行うSNSをはじめ、書籍や日用品を購入するショッピングサイト、インターネットバンキング、メールサービスなど、インターネット上には様々なサービスがあり、多くの人が利用しています。ただ、サービスによっては住所など個人情報を扱う場合があるため、セキュリティには十分配慮する必要があります。これら有益なサービスを安全に利用するためには、利用者を特定するための仕組みが必要不可欠です。その代表的なものが、ユーザーIDやパスワードで利用者を認証する「パスワード認証」です。

 パスワード認証の活用シーンは、インターネット上のサービスだけに限りません。グループウェアなど企業内の業務アプリケーションでも利用されています。もちろん、パスワードの代わりに個人を特定することが可能な認証の仕組みも存在します。例えば、指紋など本人固有の身体情報(生体情報)を利用する「バイオメトリクス認証」をはじめ、利用しているPCが固有に持っているMACアドレスを活用した「MACアドレス認証」なども企業内で利用されている認証方法です。また、「なりすまし」を防ぐために、ログインするときだけ通用する一度きりのパスワードを、トークンと呼ばれる専用機器が利用者に付与する「ワンタイムパスワード認証」というパスワード認証を強化した方式もあります。

 ただ、パスワード以外の認証方法を活用する場合には、事前の登録作業に時間を要したり、その認証方法を利用するための読み取り装置が別途必要になったりするため、やはり代表的な認証方法は「パスワード認証」というのが現状です。

 パスワードを安全に利用するためには、「強固なパスワードを作る」、「パスワードを厳重に保管する」といったことが必要です。企業においては、セキュリティポリシーに沿ったパスワードの運用が求められます。利用者にとって覚えやすいパスワードは、いわば攻撃者からも"想定しやすい"パスワードとなるため、攻撃者に気付かれにくい"強いパスワード"を設定する必要があります。また、付箋紙にパスワードを書いてパソコンの横に貼っておく、なんていう保管方法を禁止するだけでも、パスワード漏洩のリスクは大幅に軽減できるはず。運用面でのひと工夫が、セキュリティレベルを大きく左右することになるのです。

"強い"パスワードの作り方

 では、どのような点に注意すれば"強い"パスワードを作ることができるのでしょうか。独立行政法人 情報処理水新機構(IPA)では、第三者に類推しやすいパスワード例を挙げ、設定してはいけないものとして紹介しています。下記で紹介したもの以外では、「辞典に載っている単語」「逆スペリングの単語」「よくあるミススペル」なども避けた方が無難です。

▼ユーザー名と同一
▼姓名または姓名の片方(yamadaやtaro)
▼ユーザー名に数字を加えたもの(yamada01)
▼製品名や商標名(WindowsやUNIX)
▼名詞(bookやpencil)
▼地名(tokyo)
▼組織の略語(ipa)
▼規則のある数字や英字(777やabcde)
▼キーボードの配列(qwert)

 つまり、強いパスワードを作るためには、攻撃者に類推されにくい複雑な文字や数字、機能の組み合わせが重要になってきます。また、攻撃者はハッキングツールを用いてパスワード解析を行うため、文字数が多くなればなるほど解読が困難になります。ただし、文字数を増やし過ぎると覚えておくことができないという弊害もあります。一般的には、頭の中で記憶できる8~14文字程度がベストとされています。

 また、パスワードを本人が忘れてしまわないように、特定の法則に基づいて文章化してしまうといった方法も有効です。例えば、「登山大好き」という文字列を使って「tozandaisuki」というローマ字に変換し、単語の先頭を大文字にして「TozanDaisuki」としてみたり、単語の間に任意の数字をいれ込んで「Tozan55Daisuki」としてみたりなども攻撃者には類推しにくいものとなってきます。「Tozan55/Daisuki」「Tozan55/Daisuki.」など、句読点や記号を任意の場所に差し挟むなどの工夫も有効です。

 なお、野村総合研究所の「IDとパスワードに関する意識調査分析レポート」によると、個人が記憶できるID・パスワードの数は平均で3.1組というアンケート結果が出ており、普段利用しているWebサイトすべてに異なるパスワードを設定し続けることには限界があることが伺えます。自分自身で覚えておける数をある程度把握し、うまく運用していくことが大切です。

【参考サイト】

関連キーワード:
  • Duqu(デュークー)とは
  • カテゴリートップへ
  • 脆弱性に対処した「iTunes 10.5.1」を公開