1. トップページ
  2. コラム
  3. あなたのパスワードは大丈夫でしょうか?

あなたのパスワードは大丈夫でしょうか?

年の瀬になると流行語大賞日本レコード大賞など、
その年を振り返るランキングが発表されます。

そんな中、「ワースト・パスワード・オブ・ザ・イヤー」が今年も発表されました。

「ワースト・パスワード・オブ・ザ・イヤー」は、過去に流出した500万以上のパスワードから、どのパスワードが最も流出しているのかをランキング付けしたものです。

今回は、ランクインしているパスワードを使っているとなぜ駄目なのかや、どのようなパスワードにすべきなのかをまとめてみたいと思います。

ランクインしたパスワードを使っていると何でいけないのか?

ワースト・パスワード・オブ・ザ・イヤーにランクインしているパスワード使っていると、
パスワードを破られる可能性が上がってしまいます。

12位のqwerty123や、39位の!@#$%^&*などは、
一見記号や数字も使われていて、複雑そうなパスワードに見えますが、
パスワードを割り出す方法の一つの辞書攻撃で破られる可能性高まります。

辞書攻撃はログインアカウントがわかっているユーザーに対して、
このようなランキングに選ばれているパスワードをまとめた辞書を片っ端から試して、
パスワードを破る攻撃方法になります。

そのため、一見複雑そうなパスワードもこういったランキングにのっているものは、
破られる可能性が高くなります。

どのようなパスワードにすればよいのか?

その他にも、パスワードを破る攻撃方法の中には、ブルートフォースアタックといったものもあります。

この攻撃方法は別名総当り攻撃と呼ばれていて、「英数字+大文字+小文字+記号」などの組み合わせを片っ端から試していく攻撃方法になります。
※”a”が駄目だったら、”b”を試し、それが駄目だったら”c”と試していき、1文字の組み合わせが全てダメだったら”aa”といった感じに文字の全組み合わせを試していきます。

なので、「英数字+大文字+小文字+記号」を組み合わせたパスワードを破ろうとすると、試さないと行けないパターンが複雑になるため、パスワードが破られづらくなります。

では、何文字のパスワードを作成するのが好ましいのでしょうか?

こちらの記事で紹介されていますが、
「英数字+大文字+小文字+記号」を組み合わせたパスワードでも、8文字であれば9時間で総当り攻撃が完了してしまうようです。

パスワードを破られるのにかかる時間はPCの性能に左右されるため、
年々PCの性能が向上していることを考えると、「英数字+大文字+小文字+記号」 且つ、 12文字以上のパスワードしておくことで、ブルートフォースアタックでは破られづらいパスワードになるのではないかと思います。

まとめ

今回は破られづらいパスワードについて考えてみましたが、どんなに複雑なパスワードにしていても、パスワードを破られる可能性をゼロにするのは難しい言われています。
※パスワードを登録しているサイトの不備などで、アカウントとパスワードが流出して、その情報を他のサイトで使いまわしている場合など

それでも、パスワード流出を限りなくゼロに近づけるための仕組みや、ツールを弊社コラムでも紹介しております。

何かと話題になった二段階認証とは
1Passwordが便利すぎる!!!!

また、全てのアカウントをこれらの複雑なパスワードや、これらのツールを導入するのは大変なので、パスワードを破られてしまった場合、自分にとって大打撃を受ける可能性があるアカウント(サーバーの管理アカウントや、金融商品を扱っているアカウントなど)だけでも、気にかけていただくきっかけになればと思います。

ホームページ・ECサイト運用に関する情報をメルマガで配信中!
WEB担当者様向けのお役立ち情報を無料でご案内しております。
登録は下記フォームから!


この記事を書いた人

長濱靖知

Creative & Development Division