使ってはいけないパスワードと安全なパスワードの作り方

デジタル化が進み、インターネット環境が向上したおかげで、さまざまなWebサービスを利用できるようになりました。

システムやWebサービスを利用する際に必要なのがIDとパスワードを使ったログインですが、皆さんはどのようにパスワードを設定していますか？ビジネスユースの場合、会社の情報システム部門から配布されたものを使用しているケースもあるでしょうが、Webサービスの場合、一定期間ごとにパスワードの変更が求められることも多く、記憶したり管理したりしなければならないパスワードはかなりの数にのぼるでしょう。

すべてを記憶しておくことが難しく、簡単なパスワードを設定してしまったり、同じパスワードを複数のサービスで使いまわしたりしてしまう方もいらっしゃるかもしれません。

本コラムでは、サイバー攻撃者など第三者に見破られやすいパスワードの特徴や例、安全なパスワードの作り方をご紹介いたします。

使ってはいけないパスワードとは

使ってはいけないパスワードとは、サイバー攻撃者に見破られやすいパスワードです。
たとえば、自分の名前をアルファベット表記しただけのものや、誕生日や電話番号、住所といったユーザーの個人情報に含まれる数字、同じ文字（数字・記号）が連続するだけのものなどが挙げられます。

そのほか、推測されやすいパスワードの条件は、以下のようなものです。

・極端に短いパスワード（例：abc、123など）
・アルファベットのみ、数字のみのパスワード（例：abcdefg、123456など）
・キーワードを端から押しただけのパスワード（例：qwerty、asdfghなど）
・よくある単語をそのままパスワードにしたもの（例：passwordなど）
・過去に流出したことがあるパスワード

世界的に使われがちなパスワード例

上記と重複するものもありますが、海外でよく使われる、推測されやすいパスワードには、次の方なものがあります。

・よくある単語や文章をそのままパスワードにしたもの（例：iloveyou、dolphinなど）
・自分の名前をアルファベット表記したもの（例：charlie、ashleyなど）
・そのサービスのジャンルに関連した固有名詞（例：Onedirection、Dallas Cowboysなど）
・都市名（例：barcelona、tiffanyなど）

日本人が使いがちなパスワード例

一方、日本人によく使われる、推測されやすいパスワードには、次の方なものがあります。

・よくある単語をそのままパスワードにしたもの（例：password、soccerなど）
・よくある単語をローマ字にしたもの（例：pasuwado、sakuraなど）
・キャラクターの名前をローマ字にしたもの（例：gundam、doraemonなど）
・自分の名前をアルファベット表記したもの（例：takuyaなど）
いずれも、推測されやすいため、使用を避けましょう。

パスワードが破られた 時の被害

実際にパスワードが破られてしまうと、どのような被害に遭うのでしょうか？

不正利用

一つは、不正利用です。そのユーザーになりすましてシステムやWebサービスを勝手に利用されたり、登録してあるクレジットカードや銀行口座から不正に課金や購入、送金などが行われたりして、金銭的な被害に発展する可能性もあります。

情報漏えい

不正ログインに利用したシステムやWebサービスに登録されている個人情報やクレジットカード情報などを窃取し、ダークウェブで販売されることなどが考えられます。特に、認証を破られたアカウントが管理者権限のものだったりすると大きな被害が懸念されます。

別のサイバー攻撃

なりすましたユーザーの情報を悪用して、ほかのサイバー攻撃が行われる恐れもあります。
たとえば、窃取したクレジットカード情報を悪用してオンラインのトラベルサービスへ旅行者の代理で申し込みを行い、旅行者から報酬を受け取るトラベル詐欺があります。

また、Webサイトの管理システムに不正にログインされた場合は、Webサイトを改ざんされてマルウェアを仕込まれることもあり、閲覧者へ被害が広がってしまいます。

パスワードを破られにくくするための方法

パスワードを破られにくくするためには、主に以下の2つの方法があります。

推測されにくい文字列にする

まずは、パスワードそのものの作り方で、サイバー攻撃者から推測されにくい文字列にすることです。かといって、覚えにくいパスワードでは利用しづらく実用的ではありません。
そこで、次のような方法で推測されにくい文字列にします。

大文字、小文字、数字、記号を組み合わせ10桁以上の長さにする

「推測されにくい複雑なパスワード」という観点から、アルファベットの大文字、小文字、数字、記号のすべてを使い、10桁以上の長さにしましょう。以前はよく8桁以上が推奨されていましたが、コンピューターの処理能力の向上により、アルファベットの大文字、小文字、数字、記号のすべてを使った8桁のパスワードは2日で破られてしまう時代になりました。

さらに、このパスワードには意味のある文字列や、電話番号や生年月日といった自分に関する数字の並びを使わないことが肝心です。

ローマ字で作った文章の各単語の頭文字をつなげる

「日本人が使いがちなパスワード例」でお伝えしたように、単語をそのままローマ字にした単純なパスワードは破られやすいですが、ローマ字を活用しながら複雑で推測されにくいパスワードを作る方法もあります。

たとえば、「来週は雪が降りそうだ」をローマ字で書くと「Raisyuu ha yuki ga furisouda」となります。この各単語の頭文字をつなげると「Rhygf」となります。ここに数字と記号を組み合わせ、たとえば「11Rhygf+79」のように10桁にします。

二段階認証を利用する

もう一つは、通常のパスワードのほかに、認証コードやワンタイムパスワードなどを発行して、ログインのために2度、認証を求める「二段階認証」を利用する方法です。

二段階認証を利用すれば、IDとパスワードが漏えいしたとしても、なりすましによる不正ログインを防げる可能性が高いです。

パスワード管理ツールの活用

前章では、推測されにくく、なおかつ覚えやすいパスワードの作り方をご紹介しましたが、それでも、利用しているシステムやWebサービスなどの数が増えれば、すべてを記憶し管理することは困難になってきます。

そこでおすすめしたいのが、パスワード管理ツールの活用です。

ツールの活用により、たくさんのパスワードを覚え切れなくて使い回してしまうという問題も回避できます。

パスワード管理ツール

パスワード管理ツールとは、複数のパスワードを記憶したり、安全なパスワードを作成してくれたりするソフトウェアのことです。無料で使える個人向けのものから、複数の従業員のパスワードを管理できる法人向けのものまで、さまざまなパスワード管理ツールがリリースされています。

通常のパスワードの記憶・管理、作成だけでなく、ワンタイムパスワードを作成する二段階認証機能や、クレジットカード番号・銀行口座番号も管理できるタイプなどもあります。

シングルサインオン（SSO）

シングルサインオン（SSO）もパスワード管理機能を持ちます。シングルサインオン（SSO）とは、一つのIDとパスワードで複数のシステムやアプリケーションにログインできる仕組みのことです。

パスワード管理ツールに比べると費用はかかりますが、パスワード管理以外にも「複数のシステムやWebサービスへのアクセスを一元管理したい」「多要素認証を行いたい」などの希望がある場合は、シングルサインオン（SSO）の導入・活用を検討すると良いでしょう。

シングルサインオン（SSO）について詳しくは、下記の記事をご覧ください。

【関連記事】
出社時のログインラッシュから解放される！シングルサインオン（SSO）とは？

まとめ

上記でご紹介した、破られやすいパスワードを使用していたという方もいらっしゃるかもしれません。不正ログインを防ぐために、推測されにくい複雑で長いパスワードへの変更をおすすめします。

パスワード管理ツールやシングルサインオン（SSO）のほか、ブラウザのGoogle Chrome（クローム）の機能でもパスワードの自動生成が行えるので、活用しても良いでしょう。

アイネスでは、シングルサインオン、多要素認証、IDライフサイクル管理、ユニバーサルディレクトリ機能をクラウドで提供するサービス「Okta」を提供しています。

詳しくは、下記ページをご覧ください。

クラウド型ID管理・統合認証サービス／IDaaS　Okta

ＩＴでお悩みのご担当者様へ

弊社は、情報サービスのプロフェッショナルとして、システムの企画・コンサルティングから開発、稼働後の運用・保守、評価までの一貫したサービスと公共、金融、産業分野などお客様のビジネスを支える専門性の高いソリューションをご提供しています。お気軽にご相談ください。

お問い合わせ