Resource Centerリソースセンター

2023.08.17

Web担当者になったら知っておきたい運用の基本ビギナーガイド

安全なパスワードとは？パスワードの新常識

オンラインのアカウントや個人情報の管理は、私たちの日常生活に欠かせないものとなりました。
その一方で、セキュリティの脅威も増加しています。
パスワードが漏洩すると、アカウントに不正アクセスされ、個人情報や機密データを盗まれるおそれがあります。
また、プライバシーが侵害されたり、金銭的な被害を受けたりするだけでなく、身元詐称や詐欺に利用される危険性もあります。
こうしたリスクを最小限に抑えるためには、強力で予測困難なパスワードを使用することが重要です。

パスワードの常識が変わった

近年、パスワードの常識は大きく変わりつつあります。
これまでは、パスワードの強度を高めるために、特殊文字や数字の組み合わせ、大文字小文字の使い分け、および定期的な変更が推奨されていました。
しかし、米国標準技術研究所 (NIST) のガイダンスによれば、パスワードの長さこそが重要であることが明らかになりました。
この結果を受け、FBIは短く複雑なパスワードよりも、単純でも長いフレーズを推奨すると述べています。
また、以前は定期的にパスワードを変更することが推奨されていましたが、現在はあまり意味がないとされています。

危険なパスワード

危険なパスワードとして、シンプルな文字列や簡単な数字列、誕生日や電話番号などの個人情報が頻繁に使用されています。

以下は、2022年に最も使われたパスワードランキングです。

1. password
2. 123456
3. 123456789
4. gest
5. qwerty
6. 12345678
7. 111111
8. 12345
9. col123456
10. 123123

このランキングから、数字の並びや、単純でわかりやすい単語が多いことがわかります。
これらのパスワードは悪意のある第三者の攻撃ツールに登録されており、解読されやすい危険なパスワードとされています。

危険なパスワードの特長

「password」や「123456」といった単純な数字列や文字列や、「qwerty」や「abc123」といったキーボード上のパターンを利用したシーケンスは、容易に予測できるため、攻撃者が最初に試す可能性が高いパスワードとなります。
同様に、誕生日、名前、電話番号などの個人情報を含むパスワードも、簡単に特定される可能性があります。
さらに、8文字以下のパスワードや、大文字と小文字の組み合わせだけで構成されたパスワードも問題とされています。
また、同じパスワードを複数のサービスやアカウントで使用すると、一つのアカウントから情報が漏れた場合、他のアカウントにもアクセスされる可能性があるため危険です。

安全なパスワードとは

近年、攻撃手法も進化しており、ブルートフォースアタックという手法が注目されています。
ブルートフォースアタックは、すべての可能な組み合わせを試すことで、正しいパスワードや秘密鍵を見つけ出すというものです。
ブルートフォースアタックで解除にかかる時間は、文字数に応じて指数関数的に増加するため、長いパスワードほど攻撃に対する耐性が高くなります。

ブルートフォースアタックにかかるおおよその時間
ブルートフォースアタックにかかるおおよその時間を示すグラフ：7文字0.29ミリ秒、10文字28年、12文字200年、14文字1300年、16文字9000年、18文字6万年、20文字40万年、22文字260万年、24文字1800万年
※ブルートフォースアタックにかかる時間は計算による理論的なものであり、実際にかかる時間はハードウェアやソフトウェアのスペックにより変わります。

グラフからもわかる通り、文字数が増えると攻撃に必要な時間は指数的に増加するため、パスワードを長くすることで安全性が大幅に向上します。

現在FBIは、今まで推奨されてきた短く複雑なパスワードではなく、「パスフレーズ」を推奨しています。
パスフレーズは、複数の単語を組み合わせて作ることで、長くても覚えやすい安全なパスワードを作成する手段です。

パスフレーズを作る際のポイント

推測されにくいフレーズ

セキュリティを向上させるためには、一般的に推測されにくい単語やフレーズの組み合わせを選ぶことが重要です。
単純に単語やフレーズを並べるだけでなく、大文字、小文字、数字、特殊記号を組み合わせることでセキュリティが向上します。
例えば、「sealandmountainbeach」のように単純に単語を並べるのではなく、「sea#landmoun-tainbeeeach」のように、間に意味のない文字や記号を入れたり、「se@1andm0unta!n6e@ch」のように、文字を記号や数字に変換すると推測されづらくなります。

文字列の長さ

先ほどのグラフからもわかる通り、ブルートフォースアタックに対抗するためには、できるだけ長いパスワードを選ぶことが重要です。
技術の進歩に伴いパスワード解読技術も進化していますが、現在の技術では24文字以上のパスワードを破るのは困難であり、高いセキュリティを確保できると言えます。

まとめ

パスワードの安全性について、従来の常識が変わりつつあります。
従来の複雑な文字の組み合わせよりも、長さを重視したパスワードが推奨されています。
さらに、FBIが推奨する「パスフレーズ」の導入によって、複数の単語を組み合わせることで長くても覚えやすい安全なパスワードを作成することが可能です。
今後の技術の進化に伴い、パスワードの重要性が変わるかもしれませんが、少なくとも現時点では24文字のパスワードは安全性が高いと言えます。

サポート