福岡のホームページ制作会社

  1. あなたのパスワードは大丈夫でしょうか?

COLUMNコラム

あなたのパスワードは大丈夫でしょうか?

年の瀬になると流行語大賞日本レコード大賞など、
その年を振り返るランキングが発表されます。


そんな中、「ワースト・パスワード・オブ・ザ・イヤー」が今年も発表されました。


「ワースト・パスワード・オブ・ザ・イヤー」は、過去に流出した500万以上のパスワードから、どのパスワードが最も流出しているのかをランキング付けしたものです。


今回は、ランクインしているパスワードを使っているとなぜ駄目なのかや、どのようなパスワードにすべきなのかをまとめてみたいと思います。


ランクインしたパスワードを使っていると何でいけないのか?




ワースト・パスワード・オブ・ザ・イヤーにランクインしているパスワード使っていると、
パスワードを破られる可能性が上がってしまいます。


12位のqwerty123や、39位の!@#$%^&*などは、
一見記号や数字も使われていて、複雑そうなパスワードに見えますが、
パスワードを割り出す方法の一つの辞書攻撃で破られる可能性高まります。


辞書攻撃はログインアカウントがわかっているユーザーに対して、
このようなランキングに選ばれているパスワードをまとめた辞書を片っ端から試して、
パスワードを破る攻撃方法になります。


そのため、一見複雑そうなパスワードもこういったランキングにのっているものは、
破られる可能性が高くなります。


どのようなパスワードにすればよいのか?



その他にも、パスワードを破る攻撃方法の中には、ブルートフォースアタックといったものもあります。


この攻撃方法は別名総当り攻撃と呼ばれていて、「英数字+大文字+小文字+記号」などの組み合わせを片っ端から試していく攻撃方法になります。
※"a"が駄目だったら、"b"を試し、それが駄目だったら"c"と試していき、1文字の組み合わせが全てダメだったら"aa"といった感じに文字の全組み合わせを試していきます。


なので、「英数字+大文字+小文字+記号」を組み合わせたパスワードを破ろうとすると、試さないと行けないパターンが複雑になるため、パスワードが破られづらくなります。


では、何文字のパスワードを作成するのが好ましいのでしょうか?


こちらの記事で紹介されていますが、
「英数字+大文字+小文字+記号」を組み合わせたパスワードでも、8文字であれば9時間で総当り攻撃が完了してしまうようです。


パスワードを破られるのにかかる時間はPCの性能に左右されるため、
年々PCの性能が向上していることを考えると、「英数字+大文字+小文字+記号」 且つ、 12文字以上のパスワードしておくことで、ブルートフォースアタックでは破られづらいパスワードになるのではないかと思います。


まとめ



今回は破られづらいパスワードについて考えてみましたが、どんなに複雑なパスワードにしていても、パスワードを破られる可能性をゼロにするのは難しい言われています。
※パスワードを登録しているサイトの不備などで、アカウントとパスワードが流出して、その情報を他のサイトで使いまわしている場合など


それでも、パスワード流出を限りなくゼロに近づけるための仕組みや、ツールを弊社コラムでも紹介しております。


何かと話題になった二段階認証とは
1Passwordが便利すぎる!!!!


また、全てのアカウントをこれらの複雑なパスワードや、これらのツールを導入するのは大変なので、パスワードを破られてしまった場合、自分にとって大打撃を受ける可能性があるアカウント(サーバーの管理アカウントや、金融商品を扱っているアカウントなど)だけでも、気にかけていただくきっかけになればと思います。


この記事を書いた人 長濱 靖知 Creative & Development Division