【パスワード】パスワードの作り方
2023/10/01 更新
パスワードの作り方
(1)パスワードの作り方を考えるには、どのような方法で解読されるかを知る必要があります。
(2)なぜなら、パスワードは、解読するのが難しい方法で作る必要があるからです。
パスワードへの攻撃方法
総当たり攻撃
(1)総当たり攻撃は、機械的に数字、アルファベットの全ての組み合わせを順番に入力していく方法です。
記号、半角全角、数字とアルファベット等の組み合わせを増やせば、解析する時間を増やすことができます。
(2)総当たり攻撃の対策としては、(ア)英大文字(26種類)、小文字(26種類)、数字(10種類)、記号(26種類)等、使う文字の種類を増やす。(イ)パスワードの文字数を増やすことが有効です。
辞書攻撃
(1)辞書攻撃は、よく使われるキーワードを参考に、その組み合わせを入力していく方法です。
(2)したがって、よく使われる数字や言葉を使ってパスワードを作るのは危険だと言われています。
「Keiy84kTT」等の、特別の意味のないパスワード(ランダムなパスワード)が有効だと言われています。
(3)実際には、意味のある言葉(よく使われる言葉)でなければ、完全な乱数ではなくても大丈夫です。
リスト攻撃
(1)セキュリティの低いサービスから、パスワードを盗んでリストを作ります。そのパスワードを使って、このリストを使ってアクセスする方法があります。これがリスト攻撃です。
(2)仮に、同じパスワードを使いまわしていると、必ずパスワードが流出すると考えてよいでしょう。どれか一つのサービスのセキュリティが脆弱であれば、そこから流出してしまうからです。
(3)同じパスワードを使いまわしてはいけません。
サービスごとに、パスワードを変更した方がよいでしょう。
パスワードを総当たり攻撃で突破するのに必要な時間
(1)2011年のIPAの発表では、当時のパソコンの性能を前提にで、パスワードの最大解読時間は以下のとおりといされています。
(2)内閣サイバーセキュリティセンター(NISC)では、10桁以上のパスワードを推奨しています。
https://www.nisc.go.jp/pr/column/20220705.html
定期的なパスワードの変更
(1)かつては、定期的なパスワードを変更することを推奨する動きもありました。
(2)確かに、定期的にパスワードを変更していれば、あるパスワードが流出したときそのパスワードが悪用されうことを防げます。
(3)しかし、パスワードの変更が大変であることや、二段階認証(多要素認証)と比べてセキュリティの意味合いも低く、現在は強くは推奨されていません。
パスワードと運用
(1)運用を考えると、あまり長いパスワードは入力が大変です。
(2)パスワードは流出してしまうことを前提に、別の方法を使ってセキュリティを強化することが大切です。
(3)例えば、フィッシング攻撃というのもあります。フィッシング攻撃では、本物と似たサイトを作り、本物と誤信させてパスワードを入力させる方法もあります。
(4)私見としては、過度に長いパスワードを作る意味は薄く、二段階認証(多要素認証)など、パスワードが流出しても大丈夫な工夫を同時にすべきです。
パスワード作りの社内ルール
(1)パスワード作りについては、社内ルールを作りましょう。
(ア)パスワードは、サービスごとに別々のものを作る。
(イ)パスワードは、「英大文字(26種類)、小文字(26種類)、数字(10種類)」を使って文字の種類を増やす。
パスワードの桁数を増やす(10桁以上にする)。
(ウ)パスワードは、意味のある言葉、数字を使わない。
自分ルールでパスワードを作る方法
(1)「意味のある言葉、数字を使わない。」のであればよく、例えば、「キーボードを打って適当に作る」という方法もありえます。
ランダムの場合、覚えることが不可能なので、どこかにメモを作ります。
(2)自分ルールでパスワードを作るのもありです。
例えば、子供の名前が「yamadahanako」だとして、「Ya」「Na」「Ko」を切り出します。
子供の誕生日が7月なら、07を切り出します。
記号を「$$」を選択します。
そこで、「Ya」+「07」+「Na」+「$$」+「Ko」でパスワードを作る方法もあります。
参考
月刊大阪弁護士会2023年3月号90頁以下
