増え続けるパスワード。セキュリティを高める6つの方法

18 11 3

PC関連

password パスワード

日々増え続けるパスワード、皆さんはどのように管理しているんでしょう?そしてそのパスワードのセキュリティは常に高い状態に保たれていますか?

まさかとは思いますが、IDとパスワードを書いた付箋をPCに貼り付けてどのサービスにもそれを使いまわしてる…なんてことやってないですよね?

もし似たようなことしてるなら、今回の記事を参考にぜひ「パスワードの安全性を高める」意識を持ってほしいと思います。

SPONSORED LINK

パスワードの桁数が長ければ安全、なんて昔の話

パスワードの安全性を高めるのによく言われるのが「桁数を増やす」ってことですよね。

しかし、これはもはや昔の話といって良いでしょう。昔の常識は今の非常識です。

▼それを裏付けるデータがこれです。

201311_0199

※セキュリティ調査レポート Vol.3/パスワードの最大解読時間測定 【暗号強度別】 | サービス | ディアイティより引用

さらにこの結果から以下のような考察もされています。

【桁数】
測定値からも分かるように、従来言われてきた「パスワードは4種類93字の組み合わせ、8桁の構成にすれば大丈夫」という状況ではありません。暗号化していないZIP形式のパスワードについては、2週間ですべての組み合わせが解析できてしまいます。つまり機密性の高いファイルのパスワード設定には、10桁以上が必要であり、現在8桁のパスワードを用いているファイルについては見直しが必要かもしれません。

※セキュリティ調査レポート Vol.3/パスワードの最大解読時間測定 【暗号強度別】 | サービス | ディアイティから引用

これらを見てわかるように、もう4桁のパスワードなんて設定している意味がないといっても過言ではありません。現在標準的なパスワードの長さとしてよく使われている8桁であっても安全とは言えない状況です。

もちろん暗号化していればもっと結果は違ってきますが、この実験で使われているのはごく一般的に家庭で使われているスペックのPCです。

それなりのスペックのマシンを複数台使用してアタックされれば容易に突破されるのは明らかです。

昔は当たり前だった4桁の数字はもちろん、8桁英数字でももはや大丈夫とは言えない状況がお分かりいただけたでしょうか。

パスワードのセキュリティを高める6つの方法

ではどうすれば良いのか。正直、絶対と言える方法はありません。プロのクラッカー達に本気で狙われたらおそらくパスワード突破を防ぐのは不可能でしょう。

それでも、1つ1つはそう大きくない対策を複数施すことによってかなり強固な安全性を確保できます。

  • パスワードを突破されにくい状況を作り出す
  • 突破されても最小限の被害に留める

という方針で今回の対策を書いています。

では1つずつ見ていきましょう。

パスワードの桁数を増やす(12桁以上を推奨)

あれ、パスワードの桁数増やしても意味ないって前に書いてたじゃないの?と思われた方。これだけで安全とは言えませんが、意味はあります。

ブルートフォースアタックのような総当り攻撃をされた場合、桁数が長ければ長いほど突破までの時間が飛躍的に長くなるからです。

12桁あるとある程度のセキュリティが確保できると書かれた記事もあります。

「How Secure Is My Password?」では入力したパスワードに対する解析時間を算出することができます。試しに英字(大文字、小文字)+数字で作成した8桁のパスワードを入力してみると……。

8桁……15hours(15時間)という衝撃の時間が。コレは危機です。

10桁……6 years(6年)。まだ足りません。

12桁……25 thousand years(2万5000年)。十分!

これを過信するのは禁物ですが、長いほど突破されにくくなるというのは確かです。12桁以上の英数字、できれば記号も使うとより安心です。

この記事の中で紹介されている「How Secure Is My Password?」というサイトで、パスワード突破までの目安時間が計測できます。気になった方は試されてみてはどうでしょうか。

How Secure Is My Password?

とは言え、マシンスペックは今なお向上し続けているので、パスワードの長さだけで安全性を担保するのはやはり無理があるでしょうね。

単語の羅列ではなく、ランダムな文字列にする

これも基本です。「HelloWorld123」は英数字混ぜて13文字あるから安心!なんて絶対に思わないでください。辞書攻撃されたらあっという間に突破されちゃいますよ。

<参考>辞書攻撃 – Wikipedia

ランダムな文字列にしましょう。私は「Keepass」というアプリを使っていますが、それにはランダムパスワード生成機能があります。

アプリを使わなくても、強固なパスワードを生成してくれるWebサービスもありますよ。

<参考>パスワード自動生成 (Automated Password Generator)

ID・パスワード以外の認証方法(2段階認証)があれば必ず設定する

たとえID・パスワードが漏洩したとしても、2段階認証などの認証方法を設定しておけばそこで食い止めることができます。

有名なところではGoogleアカウント、Apple ID、Twitter、Facebook、Evernote、Dropboxなんかは2段階認証に対応しています。

本ブログでもいくつか記事にしているので参考にしてください。

知らなかった!Googleの認証システムはEvernoteやDropbox、WordPressにも使えますよ! | love guava!

Evernoteが2段階認証に対応!設定はWebページから | love guava!

Twitterが2段階認証を導入。しかし日本は未対応 | love guava!(現在は日本でも対応しています)

全てのサービスやアプリで別のパスワードを設定する

アカウントやIDごとに全て別のパスワードを設定しましょう。つまり「パスワードの使い回しをするな」ってことです。

パスワード使い回しがダメな理由は…わかりますよね?

ソーシャルログイン以外の方法があるならそれを使う

ソーシャルログインという言葉はご存知でしょうか?知らないうちにこの機能を使っている人も多いかもしれません。

Facebookなどのアカウントを持っている人が、Facebookとは全然関係ないサービスに登録・ログインするときにFacebookアカウントでログインできる、という仕組みのことです。

この機能、すごく便利なんですよね。私も以前はよく利用していました。なんせ新規でアカウント作らなくてもいいんですから。

でもこれ、裏を返すと「Facebookのアカウントが乗っ取られたら別のサービスも乗っ取られる」ってことを意味しています。

これは賛否両論ありそうですが、私はソーシャルログイン以外の方法があれば、面倒くさいですがそちらで新規アカウント作成しています。

パスワード管理アプリを使う

パスワードのセキュリティを高めるのとは直接関係ないですが、上記のようなパスワード管理をしやすくするのにパスワード管理アプリを使うことをオススメします。

これによって全てのパスワードを覚えておくという無理難題から開放され、スムーズにいろんなサービスやアプリを利用できるようになりますよ。

パスワード管理アプリはいろいろありますね。1PasswordとかID Managerとか。

私はKeepassを使っています。ブログ記事にもしていますので参考にしてください。

スマホもPCも、パスワード管理は「Dropbox」+「KeePass」で一元管理! | love guava!

まとめ

パスワードのセキュリティを高める方法をご紹介しました。

パスワード管理を疎かにしていた方、泣きを見てからでは遅いです。すぐにきちっとしたパスワード管理をすることをおすすめします。

SPONSORED LINK

: 2013/11/17: PC関連

  • メールアドレスを記入して購読すれば、更新をメールで受信できます。現在、36 人が購読中です!
    ※メールアドレスは管理人には知られません

  • ラブグアバが更新されたらプッシュ通知でお知らせします。

  • おっさん管理人グアバが執筆しています。ミスチル好き。
    私が気になったこと(主にスマホ/Webサービス/生活/ミスチル/たまにトイレ)について書いています。2016年7月時点で月間36万PV。
    詳細はコチラ

    フォローはこちらから!