パスワードは「123……」でいいの？ 管理者が“少しずつ”変えるべきこと：破られ方は4つ（1/6 ページ）

[辻 伸弘（SBテクノロジー），ITmedia]

　パスワードは破られる可能性があります。破られるとアカウントが乗っ取られて、自分の個人情報や暗号資産を含む金融資産が盗まれてしまうかもしれません。X（旧Twitter）やFacebookなどのSNSであれば、誰かに迷惑をかけたり恥ずかしい思いをしたり、それが企業アカウントであれば大きく評判を下げてしまいかねません。

　最近は2要素認証などで強度が上がっているとはいえ、今でもパスワードでしか守られていないサービスがまだまだ多く残っているのが現状です。安全なパスワードの付け方についてお伝えできればと思います。

　システム担当の方は適切なパスワードの運用を説明・教育する立場にあると思います。「ルールだからこうしなさい」ではなかなか動機付けされないので、なぜそれをするのかというのは、どんな仕事においても必要です。それを説くためにも使ってもらえたらと思います。

パスワードの鉄則

　よく見聞きする内容かもしれませんが、まず3つのパスワードの鉄則をお伝えします。

　1つめは、短い文字列を使用しない。2つめは、推測可能な文字列を使用しない。笑い話になりつつもまだまだ残っているパスワードが“password”、ユーザIDと同じ文字列などです。3つめは、複数のサービスで単一のパスワードを使い回さない。例えば、A、B、Cのサービス全て同じパスワードを設定すること、もしくは2〜3個のパスワードを使い回すこと、これをやめましょうということです。

　パスワードは、それを知っているか否か許可されたユーザであるかを識別し、自分たちの資産やそれらへのアクセスを守るためのものです。しかし、パスワードは日常的にいたるところで突破されてしまっています。どうして、あなたしか知らないはずのパスワードを攻撃者は知ることができるのでしょうか。

　ここからは、攻撃者がどのような手口を使っているのかを知っていただき、パスワードの鉄則とした理由をご理解いただこうと思います。