検索
ニュース

強力なパスワードを作る法則とは? 意外と知らない「パスワード」のハナシ今さら聞けない「認証」のハナシ(2/4 ページ)

私たちにとって身近になってきた「認証」の話。今さら聞けない認証の基本を、認証サービスを提供するパスロジ担当者が解説します。今回のテーマは知識認証の代表格である「パスワード」のハナシ。

Share
Tweet
LINE
Hatena

知られている攻撃から防ぐためのパスワード作成

 面倒くさい問題はとりあえず置いておいて、パスワードに対する攻撃について紹介します。そして、それらに強いパスワードの作り方を考えてみましょう。

総当たり攻撃(ブルートフォースアタック)

 片っ端から文字列を試していく攻撃です。使われている文字数と文字種が少ないパスワードの方が文字列のパターンが少ないので、当たる確率が高くなります。

 同じサービスに対して、早いタイミングで何回も同じ場所(IP)から攻撃を試しているとサービス側に気付かれてしまうので、さまざまなサービスに対して、ゆっくりと場所を変えながら侵入を試す方法(パスワードスプレー攻撃)が、どこかでひっそり行われていると想定します。

【総当たり攻撃への対抗策】

 下記に紹介するページでは、パスワードに使われている文字数と文字種によって、総当たり攻撃にどのくらいの時間が耐えられるかを検証した内容を掲載しています。

 また下記のサイトでは、文字列を入力すると、そのパスワードが総当たり攻撃で破られるのかかる時間を計算してくれます。米国のセキュリティ関係者によって作られたサイトで、パスワード管理アプリ「Dashlane」がスポンサードしています。

 算出時間が正確とは言い切れませんが、参考にはなります。「あなたのパスワードはインターネットに送られない」とは書いてありますが、実際に使っている・使おうとしているパスワードを入力するのは、止めておいたほうが無難でしょう。

 これらを参考にすると、「とにかく長いほうが良い」となります。英字だけでも少なくとも15桁以上であれば人間の寿命を越えそうです。

辞書攻撃

 パスワードに使われていそうな文字列のリスト、いわゆる「パスワード辞書」が不正侵入を試みる人たちの間に出回っています。このリストには、例えば「password」のいくつかの文字を置き換えた「p@55w0rd」といった文字列も掲載されていると考えられます。

【辞書攻撃への対抗策】

 誰かが思い付かないような、ランダムなパスワードにしましょう。しかし、あまりランダムにし過ぎると覚えづらくなってしまうので、バランスをとって、ランダム性を組み入れるくらいにしておきましょう。

リスト型攻撃

 どこかのサービス事業者から漏えいしてしまったパスワードのリストを使って、他のサービスへの侵入を試していく攻撃です。

パスワード
パスワードの使い回しはNG(画像はせぐなべより転載)

【リスト型攻撃への対抗策】

 先述したように、サービス提供社側の漏えいは利用者側で対策できないので、サービスごとに異なるパスワードを設定して被害の拡散を防ぎましょう。ただし、これが「面倒くさい問題」の原因になります。

 パスワード作成に関連する攻撃方法はこんなところでしょうか。安全なパスワードの作成ルールをまとめてみました。

パスワード作成ルール

  • 推測されにくい、ランダム性のあるパスワードにする
  • できるだけ長いパスワードにする
  • それぞれのパスワードを異なるものにする

 このルールを守りつつ、できるだけ面倒くささを軽減できるパスワード作成方法を考えてみます。

パスワードではなく「パスフレーズ」

 「とにかく長いほうが良い」ということで、言葉をつなげてパスワードにする「パスフレーズ」という方法が、内閣官房 内閣サイバーセキュリティセンター(NISC)が2018年7月25日に策定した「政府機関等の対策基準策定のためのガイドライン (平成 30 年度版)」に掲載されてます。

 有名なせりふや決まり文句、歌詞などを使用したり、自分の好きな言葉をつなげたりするのは、推測されやすいためNGです。ランダム性を持たせるために、辞書をランダムに開いて、目についた言葉を使います。辞書は英語でなくても、日本語の辞書を使って、ローマ字にしても構いません。

 また十分なランダム性とパスワードの長さを確保するために、言葉を3つ使いましょう。3単語なら覚えられるのではないでしょうか。

 この文字列に、サービスごとの変化を加えるために、登録先のサービス名もローマ字読みした文字列を追加します。

例:言葉は「鹿児島」「ラズベリー」「病床」で登録先は「ITmedia」の場合

→kagoshimarazuberiibyousyouaitiimedia

 言葉3つ+登録先サービスのローマ字読みなので、覚えることも可能でしょう。ただし、この方法ではどうしてもパスワードが長くなってしまい、登録できないサービスが多くなってしまいます。そこで、別の方法を考案します。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る