そのパスワードで大丈夫？セキュリティに強いパスワードの作り方

様々なサービスやシステムを利用するためにパスワードを設定する必要があります。

パスワードが破られてしまうと重大な問題に繋がると知っている人は多いですが、正しい作り方まで知らない人は少なくありません。

設定しておけば何でも良いというわけではないので、紹介する安全なパスワードの作り方を参考にしてください。

セキュリティに強いパスワードの作り方を取り入れておくことは重要です。

悪意を持った攻撃者は、様々な手段を使ってパスワードを破ろうとしてきます。セキュリティ性が高められる作り方で用意したパスワードは破られにくくなりますが、そうでない作り方のものは簡単に破られてしまう可能性が高いです。

攻撃者はクレジットカードやネットバンキングなどの重要なサービスのパスワードを破ることで、情報やお金などを盗むケースが多いと言えます。

作り方が悪ければ、コンピュータを使うことで4桁のパスワードを最短3秒で破られてしまう可能性があるので、トラブルを避けるためにもセキュリティに強いパスワードの作り方を知ることが大切です。

パスワードを使った不正ログイン手法はたくさんあります。

どのようなものがあるのか解説するので、理解を深めておきましょう。

1.辞書攻撃（ディクショナリアタック）

まずは辞書攻撃があります。ディクショナリアタックとも呼ばれており、辞書や人名録などの人間にとって意味を持つ単語をリストアップしてパスワードを割り出す方法です。

辞書や人名録に掲載されている単語やフレーズを1つずつ試していく方法であり、これに加えて社名や製品名などの固有名詞を追加するケースもあります。

ランダムな文字列を覚えることは困難なので、多くの人はパスワードの作り方で意味のある文字列を用いますが、そこを突いた手法です。

同じ単語でも大文字と小文字の組み合わせを変えて試されるケースも多いため、意味のある単語を使用した作り方では不正ログインの可能性が高まると知っておきましょう。

2.ブルートフォースアタック（総当たり攻撃）

ブルートフォースアタックという名称でも知られている総当たり攻撃は、1つずつ順番に文字を変えながらパスワードを試していく方法です。

原始的な手法だと思うかもしれませんが、いつかは正解に辿り着くことができてしまう方法だと言えます。

文字数や組み合わせ方によって解読時間は異なりますが、最短3秒だとされていることを知っておくべきです。

4桁や6桁、8桁のパスワードを設定するケースが多いですが、大文字と小文字の区別がない英字だけの作り方にしてしまうと、8桁のパスワードでも17日ほどで破られるとされており、この攻撃を防ぐためには数字や記号も組み合わせた作り方にしたり、桁数を増やしたりすることになります。

3.リバースブルートフォースアタック（逆総当たり攻撃）

リバースブルートフォースアタックは逆総当たり攻撃であり、パスワードは固定でIDを変えながらログインしようとする方法です。同じユーザーIDで何度もログインを失敗すると、試すことができなくなる設定になっていることが多いと言えます。

逆総当たり攻撃ではユーザーIDが変えられるため、ログインに成功するまで試し続けることができる方法だと言えるでしょう。

パスワードの組み合わせが少ないほど逆総当たり攻撃の被害に遭いやすいです。4桁の数字の組み合わせのパスワードを用意することがルールである場合は組み合わせが1万通りとなり、同じ数列を使うユーザーもあらわれるため、ログインに成功する可能性が高いと言えます。

4.ソーシャルエンジニアリング

ソーシャルエンジニアリングは情報通信技術を使うことなくパスワードを盗む方法であり、これにはいくつかの手法があることを知っておくと良いです。

電話でパスワードを聞き出す方法では、ユーザー名をゲットした後に利用者や管理者のフリをして聞き出すケースが多いと言えます。

肩越しに入力内容を見られるショルダハッキング、情報が書かれたメモなどをゴミ箱から得ようとするトラッシングなどの方法で行われることもあるので要注意です。

セキュリティ性が高いパスワードの作り方を取り入れたとしても、油断しているとソーシャルエンジニアリングによって盗み取られてしまう恐れがあるので、こういった手口に合わないように細心の注意を払っておく必要があります。

使ってはいけないパスワード

NordPassから「Top 200 most common passwords」というレポートが発表されていますが、これを参考にすることで使ってはいけないパスワードを知ることが可能です。

これは使われることが多いパスワード上位200個をまとめたものであり、チェックしてみると自分の作り方と同じパスワードが掲載されているかもしれません。

設定している人が多いということは、悪意を持った人もそのようなパスワードを使っている可能性が高いだろうと予測している可能性が高いです。

破られてしまうリスクが高まるので、レポートに自分のパスワードと一致するものがある場合は早急に作り方を変えることをおすすめします。

ここからはセキュリティ上設定してはいけない典型的なパスワードのパターンを解説するので、こうした作り方にならないようにしておきましょう。

1.単語をそのまま使う

単語をそのまま使うような作り方は非常に危険です。不正ログインの手法で説明したように、辞書攻撃によって割り出されてしまう可能性が高まります。

好きな言葉を英語やその他の外国語でパスワードにする人は多いですが、特定されるリスクが高いため避けたほうが良いです。

「Happy000」「love2525」など、大文字小文字や数字を組み合わせていても破られる可能性が高いため、単語を使った作り方はやめたほうが良いと言えます。

2.「12345」など連続した文字列

連続した文字列も危険性が高いです。「12345」などの数字はもちろんのこと、キーボードの並び順である「qwert」のような作り方の文字列も危険性が高いと言えます。

組み合わせても危険性が高いことには変わりなく、「aiueo12345」「aa00」なども避けるべきです。途中から始まれば問題ないわけではないので、「3456」のような連続した文字列も問題だと言えます。

シンプルな文字列や組み合わせは突破されやすいので要注意です。

3.個人の情報に関連したワード

個人情報に関連したワードも避けるべきだと言えます。自分や家族の名前、生年月日や住所、車のナンバープレートや電話番号なども危険です。

「arisa0522」「sanae0yuto」のように、名前と誕生日を組み合わせたり、子供の名前を並べたりする方法も危ないと言えます。

姪っ子や甥っ子、親戚などでも関係なく危険なので、個人情報に関連する内容は採用すべきでないと理解しておきましょう。

名前や住所、電話番号などを含めると、パスワード以外の重要な情報が漏洩する恐れもあるのでより危険です。

4.複数のサービスで同じパスワードを使いまわす

パスワードは作り方を工夫することも覚えることも大変だと言えます。そのため、複数のサービスで同じパスワードを使い回してしまう人は少なくありません。

けれども、使い回すことがあれば流出の可能性が高まります。作り方を大きく変えず部分的に変化させて使い回す人もいますが、一部が重複していれば短いパスワードを使っていることと同じです。

以前使っていたけれど現在使っていないサービスのものを転用することも危険なので、他のサービスで使ったものを使わず、違う作り方で用意する必要があります。

漏洩時には様々なリスクがあるので、具体的な内容を知っておくべきです。

どのようなリスクがあるのか紹介するので、きちんと把握しておきましょう。

1.サービスを不正利用される

サービスの不正利用は代表的な被害の例だと言えます。

不正利用されることで金銭的トラブルに巻き込まれる可能性が高いです。

勝手に高額な買い物をされてしまったり、インターネットバンキングを介してお金が引き出されてしまったり、知らない相手に送金されたりするリスクがあります。

パスワードが破られると詐欺や不正送金などの被害に遭う恐れがあり、気がつかないうちに大金が被害に遭ってしまうケースもあると理解しておくことが大切です。

2.社内情報の漏洩

会社関係のパスワードが漏れてしまった場合は、パソコンに保存された重要な情報が漏洩する可能性があります。

企業は重要な情報や機密情報を持っていますが、これが外部に流出する危険性があることを理解しておかなければなりません。

未発表の商品やプロジェクトの内容が漏れたり、顧客や取引先、社員の情報が漏洩したりすることもあります。

社外秘の会社のノウハウが漏洩したことで、秘密にしていた製法や原料が広く知れ渡ってしまうようなリスクもあるでしょう。

知られたくないことが知られてしまうだけでなく、顧客や取引先の信用を失ったり、商品やサービスを提供することができなくなったりする恐れもあります。

社内情報が漏れたときには大きな被害やリスクがあることを理解しておくべきです。

3.加害者になるケース

被害者になると思っている人は多いはずですが、場合によっては加害者になることもあります。

SNSアカウントやメールアドレスを乗っ取られて、ウイルスをバラ撒くために利用さる可能性もあることを知っておくべきです。

不特定多数の人に自分のアカウントやアドレスからウイルスや架空請求のためのURLが送られることもありますし、知人や友人に送られてしまうこともあります。

友達や知人から届いたURLを疑わずにクリックしてしまう人も多く、大切な人にまで被害を及ぼすことになるかもしれません。

加害者になりたくないのであれば、パスワードの作り方に気をつけておく必要があります。

パスワードに関して誤解している部分がある人は多いです。

誤解されがちな部分を紹介するので、正しい知識を持つことができているかどうかチェックしてみてください。

1.複雑なパスワードにする必要はない

とにかく複雑であることが重要だと思っているかもしれませんが、必ずしも複雑な作り方にする必要はありません。

複雑さよりも適切な長さであるほうが重要だと考えられているため、長めのパスワードを作ることをおすすめします。

8文字程度の短いパスワードの場合は、複雑にしても解読されるリスクが高いです。長ければそれだけ試行回数を増やすことができるため、突破されにくくなると言えます。

現在のコンピュータ能力を考慮すれば、文字数は10文字から12文字にしておくことが望ましいです。

ただし、デジタル技術は日々進化しているものなので、将来的な安全性も期待するのであれば14文字以上に設定することがおすすめだと言えます。

ある程度の長さであれば、複雑すぎる文字列でなくても問題ありません。

2.定期的なパスワード変更は逆にリスクが上がる

定期的なパスワード変更が重要であると勘違いする人も多いですが、これも破られてしまうリスクをあげる行為です。

サービスを利用する際に定期的なパスワード変更が促されるケースもありますが、頻繁に簡単なパスワードに変えてしまえば意味がありません。

セキュリティ性が高いものを最初に設定しておけば、簡単なパスワードを使い回すよりも破られる確率を下げることができます。

頻繁に変更していると覚えるために簡単なものになりがちなので、定期的な変更はリスク増加に繋がりがちだと理解しておきましょう。

コアパスワードと個別ワードを組合わせる

強固で覚えやすいパスワードの作り方には、自分が覚えやすいパターンを組み合わせるというものがあります。

組み合わせパターンを詳しく解説するので、作り方を参考にして実際に作ってみてください。

1.単語をさかさにする

IPAが推奨している方法には、コアパスワードと個別パスワードを組み合わせる方法があります。

自分の趣味や好きなことから短いフレーズを決定し、任意の変換ルールを用いながら強度の高いパスワードにするという作り方です。

たとえば、「リンゴが好き」というフレーズを決め、アルファベットに変換します。「ringogasuki」のリンゴだけ大文字にするという変換ルールを追加すれば、「RINGOgasuki」になり、最後に自分が好きなスポーツ選手の背番号を追加すれば、「RINGOgasuki51」となるでしょう。

サービスごとにこの方法で作ることは大変だと思うかもしれませんが、1個コアパスワードを決めておけば、後は前後にそれぞれのサービスに対応した個別パスワードを追加するだけです。

コアパスワードが強力なので、追加する文字はサービスの略称などの簡単なものでも問題ないと言えます。この作り方であれば、簡単に強力なパスワードを生成することが可能です。

2.アルファベットを記号に置き換える

単語をさかさにすることも、おすすめのパスワードの作り方だと言えます。

同じ単語であったとしても、そのまま使う場合よりセキュリティ性が飛躍的に向上しますし、覚えやすいというメリットも感じられるはずです。「cherry」であれば「yrrehc」にする方法だと言えます。

アルファベットを記号に置き換える方法も有効です。似た文字だと覚えやすく、ｓは＄、aは@などに置き換えることができます。

「sakura」という文字列を使いたい場合は、「＄@kur@」と変換することが可能です。簡単ですが、しっかりとセキュリティ性を高めることができるおすすめの作り方だと言えるでしょう。

3.名称に任意のワードを挟む

名称に任意のワードを挟む方法もおすすめです。利用するサービスの名称に任意の単語を挟み込むこともできます。

任意の単語をsakuraとするとき、twitterであれば「twisakuratter」、Facebookであれば「facesakurabook」のように挟むことが可能です。

名称に好きなワードを入れ込むだけなので、簡単かつ覚えやすい作り方だと言えます。

4.大文字を小文字を組み合わせる

大文字と小文字を組み合わせるパターンも有効ですが、このときは単語にしないことが大切です。

既に存在している言葉であれば、大文字と小文字を組み合わせてもセキュリティ性が高まらないので、存在しないものにすることが重要だと覚えておきましょう。

架空の言葉でも覚えやすいものを選ぶことは可能です。マヴァリルという架空の言葉をアルファベット「mavalil」に変換し、「mAvAlIl」のように大文字と小文字を組み合わせるようなやり方が効果的だと言えます。

完成したパスワードは強度チェックを行っておくべきです。

カスペルスキーのパスワードチェッカーを使用すれば、解読されるまでの時間を知ることができます。

短時間で解読されてしまうようなものであれば作り直し、なかなか解読できないものであれば利用しても問題ないと判断することができるでしょう。

セキュリティ性強化を意識しながら作っても解読されやすい可能性があるので、チェックは必須だと言えます。

複雑なパスワードを使いたい場合、管理を楽にしたい場合はパスワード管理アプリを使用することがおすすめです。

セキュリティ保護機能やオフラインアクセス機能などが搭載されたものであれば、より安全に使用することができます。

アプリ自体の安全性を確認しておくことを忘れてはいけませんが、便利なアプリを利用すればパスワードを忘れて困ってしまう可能性をなくすことができるので、新たにセキュリティを強化したパスワードを作っても安心です。

セキュリティをより強化する方法もあります。

詳細な方法を解説するので、セキュリティ性を向上するために取り入れてみてください。

1.2段階認証を利用する

2段階認証を利用する方法がおすすめです。通常はIDとパスワードを入力するだけでログインすることができますが、2段階認証の場合は他の認証作業も必要になります。

指紋認証やSMS認証を行うことになるため、不正ログインを防ぎやすくなるでしょう。2種類以上の方法が組み合わせられた2要素認証とも呼ばれる2段階認証であれば効果的ですが、同じ方法を繰り返すだけの2段階認証では効果が薄くなります。

同じIDとパスワードを2回認証するような方法ではなく、全く違った方法で認証しなければならない方法を選んでおくと安心です。パスワードやIDが流出してしまったとしても、SMS認証や指紋認証があることでログインを防げるようになります。

2.SSO(シングルサインオン）を利用する

SSO（シグナルサインオン）を利用することも可能です。1つのIDとパスワードがあれば、他のウェブサービスにもログインすることができます。

セキュリティ性の高いものを1つ持っていれば、後は自動的に生成されたIDとパスワードで他のサービスにログインすることができるという方法です。

現在ではたくさんのSSOサービスがあり、企業などでは導入するケースが増えているので、積極的に利用することを検討してみると良いでしょう。

3.マトリクス認証を利用する

マトリクス認証を活用する方法もあります。乱数表を利用したワンタイムパスワードを使用する方法であり、マトリクス認証ではパターンに従って文字を読み取って入力することになると知っておきましょう。

表のどこにある文字や数字がパスワードとなるか記憶し、認証の際にランダムに文字や数字が並んだ表から、パスワードとなる部分の文字や数字を拾い上げて入力することになります。

基本的にはこのような方法で実施することになりますが、単にパスワードを入力するだけの方法よりもログインが難しくなり、不正ログインを防ぎやすいです。

難しそうに感じるかもしれませんが、ユーザーは文字を読み取るためのパターンを覚えるだけで良いので簡単だと言えます。

4.秘密の質問に正しい答えを設定しない

秘密の質問に対する答えを設定しなければならないケースも多いですが、このときに正しい答えを設定しないこともおすすめです。

「好きな食べ物は」「卒業した小学校は」「母親の旧姓は」などの全ての質問に、「ハナコ」とペットの名前を設定しておくようなやり方がおすすめだと言えます。

真面目な回答を用意しないことによって、秘密の質問を突破されるリスクを下げることが可能です。

まとめ

色々な答えを用意すると覚えきれなくなる可能性が高いので、何にでも使うことができるような共通する答えを1つか2つ用意しておく方法をおすすめします。

パスワードの安全な作り方で苦戦してしまう人は非常に多いです。

簡単なものにすると様々な被害に遭うリスクが高まりますが、セキュリティ性を高めた作り方を採用したつもりでも実は問題のあるパスワードかもしれません。

安全なパスワードを作ることの重要性から、作り方まで理解しておくことによって、トラブルを防ぐことができるようにしておくことが大切だと言えます。

仕事で使うものもプライベートで使うものも、安全性が高められる作り方で作成するようにしてください。