年の瀬になると流行語大賞や日本レコード大賞など、
その年を振り返るランキングが発表されます。
そんな中、「ワースト・パスワード・オブ・ザ・イヤー」が今年も発表されました。
「ワースト・パスワード・オブ・ザ・イヤー」は、過去に流出した500万以上のパスワードから、どのパスワードが最も流出しているのかをランキング付けしたものです。
今回は、ランクインしているパスワードを使っているとなぜ駄目なのかや、どのようなパスワードにすべきなのかをまとめてみたいと思います。
ランクインしたパスワードを使っていると何でいけないのか?
ワースト・パスワード・オブ・ザ・イヤーにランクインしているパスワード使っていると、
パスワードを破られる可能性が上がってしまいます。
12位のqwerty123
や、39位の!@#$%^&*
などは、
一見記号や数字も使われていて、複雑そうなパスワードに見えますが、
パスワードを割り出す方法の一つの辞書攻撃で破られる可能性高まります。
辞書攻撃はログインアカウントがわかっているユーザーに対して、
このようなランキングに選ばれているパスワードをまとめた辞書を片っ端から試して、
パスワードを破る攻撃方法になります。
そのため、一見複雑そうなパスワードもこういったランキングにのっているものは、
破られる可能性が高くなります。
どのようなパスワードにすればよいのか?
その他にも、パスワードを破る攻撃方法の中には、ブルートフォースアタックといったものもあります。
この攻撃方法は別名総当り攻撃と呼ばれていて、「英数字+大文字+小文字+記号」などの組み合わせを片っ端から試していく攻撃方法になります。
※”a”が駄目だったら、”b”を試し、それが駄目だったら”c”と試していき、1文字の組み合わせが全てダメだったら”aa”といった感じに文字の全組み合わせを試していきます。
なので、「英数字+大文字+小文字+記号」を組み合わせたパスワードを破ろうとすると、試さないと行けないパターンが複雑になるため、パスワードが破られづらくなります。
では、何文字のパスワードを作成するのが好ましいのでしょうか?
こちらの記事で紹介されていますが、
「英数字+大文字+小文字+記号」を組み合わせたパスワードでも、8文字であれば9時間で総当り攻撃が完了してしまうようです。
パスワードを破られるのにかかる時間はPCの性能に左右されるため、
年々PCの性能が向上していることを考えると、「英数字+大文字+小文字+記号」 且つ、 12文字以上のパスワードしておくことで、ブルートフォースアタックでは破られづらいパスワードになるのではないかと思います。
まとめ
今回は破られづらいパスワードについて考えてみましたが、どんなに複雑なパスワードにしていても、パスワードを破られる可能性をゼロにするのは難しい言われています。
※パスワードを登録しているサイトの不備などで、アカウントとパスワードが流出して、その情報を他のサイトで使いまわしている場合など
それでも、パスワード流出を限りなくゼロに近づけるための仕組みや、ツールを弊社コラムでも紹介しております。
・何かと話題になった二段階認証とは
・1Passwordが便利すぎる!!!!
また、全てのアカウントをこれらの複雑なパスワードや、これらのツールを導入するのは大変なので、パスワードを破られてしまった場合、自分にとって大打撃を受ける可能性があるアカウント(サーバーの管理アカウントや、金融商品を扱っているアカウントなど)だけでも、気にかけていただくきっかけになればと思います。