日々増え続けるパスワード、皆さんはどのように管理しているんでしょう?そしてそのパスワードのセキュリティは常に高い状態に保たれていますか?
まさかとは思いますが、IDとパスワードを書いた付箋をPCに貼り付けてどのサービスにもそれを使いまわしてる…なんてことやってないですよね?
もし似たようなことしてるなら、今回の記事を参考にぜひ「パスワードの安全性を高める」意識を持ってほしいと思います。
パスワードの桁数が長ければ安全、なんて昔の話
パスワードの安全性を高めるのによく言われるのが「桁数を増やす」ってことですよね。
しかし、これはもはや昔の話といって良いでしょう。昔の常識は今の非常識です。
▼それを裏付けるデータがこれです。
※セキュリティ調査レポート Vol.3/パスワードの最大解読時間測定 【暗号強度別】 | サービス | ディアイティより引用
さらにこの結果から以下のような考察もされています。
【桁数】
測定値からも分かるように、従来言われてきた「パスワードは4種類93字の組み合わせ、8桁の構成にすれば大丈夫」という状況ではありません。暗号化していないZIP形式のパスワードについては、2週間ですべての組み合わせが解析できてしまいます。つまり機密性の高いファイルのパスワード設定には、10桁以上が必要であり、現在8桁のパスワードを用いているファイルについては見直しが必要かもしれません。※セキュリティ調査レポート Vol.3/パスワードの最大解読時間測定 【暗号強度別】 | サービス | ディアイティから引用
これらを見てわかるように、もう4桁のパスワードなんて設定している意味がないといっても過言ではありません。現在標準的なパスワードの長さとしてよく使われている8桁であっても安全とは言えない状況です。
もちろん暗号化していればもっと結果は違ってきますが、この実験で使われているのはごく一般的に家庭で使われているスペックのPCです。
それなりのスペックのマシンを複数台使用してアタックされれば容易に突破されるのは明らかです。
昔は当たり前だった4桁の数字はもちろん、8桁英数字でももはや大丈夫とは言えない状況がお分かりいただけたでしょうか。
パスワードのセキュリティを高める6つの方法
ではどうすれば良いのか。正直、絶対と言える方法はありません。プロのクラッカー達に本気で狙われたらおそらくパスワード突破を防ぐのは不可能でしょう。
それでも、1つ1つはそう大きくない対策を複数施すことによってかなり強固な安全性を確保できます。
- パスワードを突破されにくい状況を作り出す
- 突破されても最小限の被害に留める
という方針で今回の対策を書いています。
では1つずつ見ていきましょう。
パスワードの桁数を増やす(12桁以上を推奨)
あれ、パスワードの桁数増やしても意味ないって前に書いてたじゃないの?と思われた方。これだけで安全とは言えませんが、意味はあります。
ブルートフォースアタックのような総当り攻撃をされた場合、桁数が長ければ長いほど突破までの時間が飛躍的に長くなるからです。
12桁あるとある程度のセキュリティが確保できると書かれた記事もあります。
「How Secure Is My Password?」では入力したパスワードに対する解析時間を算出することができます。試しに英字(大文字、小文字)+数字で作成した8桁のパスワードを入力してみると……。
8桁……15hours(15時間)という衝撃の時間が。コレは危機です。
10桁……6 years(6年)。まだ足りません。
12桁……25 thousand years(2万5000年)。十分!
これを過信するのは禁物ですが、長いほど突破されにくくなるというのは確かです。12桁以上の英数字、できれば記号も使うとより安心です。
この記事の中で紹介されている「How Secure Is My Password?」というサイトで、パスワード突破までの目安時間が計測できます。気になった方は試されてみてはどうでしょうか。
とは言え、マシンスペックは今なお向上し続けているので、パスワードの長さだけで安全性を担保するのはやはり無理があるでしょうね。
単語の羅列ではなく、ランダムな文字列にする
これも基本です。「HelloWorld123」は英数字混ぜて13文字あるから安心!なんて絶対に思わないでください。辞書攻撃されたらあっという間に突破されちゃいますよ。
ランダムな文字列にしましょう。私は「Keepass」というアプリを使っていますが、それにはランダムパスワード生成機能があります。
スマホのパスワード管理アプリはKeepass2AndroidがKeePassDroidより使いやすい
スマホもPCもパスワード管理はDropboxとKeePassアプリで一元管理!
アプリを使わなくても、強固なパスワードを生成してくれるWebサービスもありますよ。
パスワード自動生成 (Automated Password Generator)
ID・パスワード以外の認証方法(2段階認証)があれば必ず設定する
たとえID・パスワードが漏洩したとしても、2段階認証などの認証方法を設定しておけばそこで食い止めることができます。
有名なところではGoogleアカウント、Apple ID、Twitter、Facebook、Evernote、Dropbox、Amazonなんかは2段階認証に対応しています。
本ブログでもいくつか記事にしているので参考にしてください。
Googleの2段階認証システムはEvernoteやDropbox、Amazon、WordPressにも使える!設定方法を解説します
2段階認証アプリ「Authy」の使い方。非常に便利でスマホが壊れても安心
Twitterアプリで2段階認証を設定する方法。Authyにも対応されてます
やってない人は今すぐやるべき!Google2段階認証プロセスの設定方法
全てのサービスやアプリで別のパスワードを設定する
アカウントやIDごとに全て別のパスワードを設定しましょう。つまり「パスワードの使い回しをするな」ってことです。
パスワード使い回しがダメな理由は…わかりますよね?
ソーシャルログイン以外の方法があるならそれを使う
ソーシャルログインという言葉はご存知でしょうか?知らないうちにこの機能を使っている人も多いかもしれません。
Facebookなどのアカウントを持っている人が、Facebookとは全然関係ないサービスに登録・ログインするときにFacebookアカウントでログインできる、という仕組みのことです。
この機能、すごく便利なんですよね。私も以前はよく利用していました。なんせ新規でアカウント作らなくてもいいんですから。
でもこれ、裏を返すと「Facebookのアカウントが乗っ取られたら別のサービスも乗っ取られる」ってことを意味しています。
これは賛否両論ありそうですが、私はソーシャルログイン以外の方法があれば、面倒くさいですがそちらで新規アカウント作成しています。
パスワード管理アプリを使う
パスワードのセキュリティを高めるのとは直接関係ないですが、上記のようなパスワード管理をしやすくするのにパスワード管理アプリを使うことをオススメします。
これによって全てのパスワードを覚えておくという無理難題から開放され、スムーズにいろんなサービスやアプリを利用できるようになりますよ。
パスワード管理アプリはいろいろありますね。1PasswordとかID Managerとか。
私はKeepassを使っています。ブログ記事にもしていますので参考にしてください。
スマホもPCもパスワード管理はDropboxとKeePassアプリで一元管理!
まとめ
というわけで、パスワードのセキュリティを高める方法をご紹介しました。
パスワード管理を疎かにしていた方、泣きを見てからでは遅いです。すぐにきちっとしたパスワード管理をすることをおすすめします。
<関連記事>
Googleの2段階認証システムはEvernoteやDropbox、Amazon、WordPressにも使える!設定方法を解説します
2段階認証アプリ「Authy」の使い方。非常に便利でスマホが壊れても安心
やってない人は今すぐやるべき!Google2段階認証プロセスの設定方法
