パスワード設定に関する豆知識|generating-password.com

パスワード自動生成・語呂合わせパスワード自動生成・語呂合わせ

パスワード設定に関する豆知識

ショルダーハック

ショルダーハックとは、パスワードを入力しているときに、自分の後ろからパスワードを覗かれてしまうことです。肩越しに盗まれるのでこの名前が付いています。多いケースはスマホのロック画面を解除するときに入力パターンを覗き見されてしまうこと。恋人のスマホを盗み見するときにショルダーハックによってパスワードを盗むことが多いようです。もちろん、喫茶店などでノートPCを使っているときも危険はあります。不特定多数の人がいる場所では、パスワードの入力時には背後で誰か覗いていないか確認するようにしましょう。もちろん、スマホなどの極めて私的な用途に使うデバイスであれば、恋人や家族などの身近な人にも要注意かもしれません。

パスワードのメモ書きを盗み見

管理するIDやパスワードが多くなると、メモ帳や付箋などにボールペン書きして記録することもあると思います。これらが盗み見されることでパスワードが流出する事例も数多くあります。特に毎日業務で使うシステムやソフトの場合、パスワードを付箋に書いてパソコンに貼り付けている人もいるかもしれません。比較的よく見かけるやり方ですが、セキュリティーという観点からはあまりおすすめできる行為ではありません。また、パスワードの一覧をまとめた手帳やメモなどは、鍵のついた引き出しに保管するなど、厳重に管理する必要があります。パスワード流出と聞くと、ウイルスやハッキングなどのコンピューターやネットを介した流出経路を想像しがちですが、盗み見のようにある意味で原始的な方法も少なくありません。

辞書攻撃

辞書攻撃とは、よくパスワードに利用される単語を次々と入力していく方法です。パスワードに用いられることが多い単語と言っても数千から数万語あり、手作業ではとてもすべてを入力することはできないように思われますが、コンピュータープログラムを使えば簡単に処理することができます。パスワードのパターンを片っ端から全て入力する「総当たり攻撃」は負担が大きいため、ある程度可能性のあるパスワードに狙いを絞る辞書攻撃の方が効率がよい方法と言えます。辞書攻撃に対する対策としては、簡単に考えられるようなパスワードを使わないことです。例えば、数字の組み合わせなら11111のような同じ数字だけを使ったり、12345のような規則性のある組み合わせにしないことです。また、自分の生年月日などもNGです。単語であれば、passwardのようにパスワード設定によく使われるものや、twitterやfacebookなどサービス名と同じパスワードを設定することは避けた方がよいでしょう。もちろん、aaaaaやabcdeなどのパターンが簡単なものも危険です。インターネットで検索すると、パスワードに使われやすい単語がリストアップされています。そこに載せられたものは使用しない方がいいかもしれません。

総当たり攻撃

総当たり攻撃とは特定のユーザーIDを固定しておき、それから考えられるパスワードをすべて順番に入力していく方法です。ブルート・フォース・アタックとも言われます。文字通り、考えられるパスワードのパターンを片っ端から入力していく手法で、特に4桁の数字などある程度パターンが限られている場合に有効です。また、リバース型と言って、パスワードが分かっている場合に、ユーザーIDを総当たりで入力していく方法もあります。総当たり攻撃はパスワードのパターンが限られているケースでよく使われるので、その場合にはユーザーIDを特定されないようなものにするなどの対策が有効です。最近ではユーザーIDとパスワードの両方を入力するケースが多いですが、IDもパスワードと同じように厳重に管理する必要があります。また、adminやuserなど特定されやすいIDは避けた方がよいでしょう。

パスワード設定の基本

パスワードを自分で設定する場合、「長く」、「複雑な」文字列が基本です。また、意味のある単語ではなく、適当にアルファベットと数字を打ち込んだランダムな組み合わせの方が安全性が高まります。パスワードを設定するソフトウェアやシステム、あるいは利用するユーザーに関連のある単語や数字の組み合わせはリスクが高くなるので避けた方が賢明です。また、面倒だからと言って、異なるソフトウェアやシステムで同じパスワードを使い回すのは厳禁です。必ずそれぞれ違ったパスワードを設定するようにしましょう。万が一パスワードが流出したときに、使い回しを行っていると被害が拡大するリスクがあります。最近ではパスワードの設定時に、入力したパスワードの安全性レベルが表示されるようになっています。なるべく最も安全性が高くなるような組み合わせを設定するようにしましょう。

パスワード流出による損失

パスワードが流出してしまうとさまざまな不利益を被ることになります。まず、最初に考えられるのは金銭的被害です。実際に現金を失わなくても、マイレージやAmazonポイント、ギフトポイントなどの金銭的価値のあるポイントを失う可能性があります。次に個人情報の流出。生年月日や住所、電話番号を見ず知らずの第三者に知られてしまうと、スパムメールや迷惑電話などが増加するリスクが高まります。また、クレジットカード番号などが流出すると当然不正利用の危険があります。金銭的被害ではなくても、フェイスブックやtwitterなどのSNSやメールアドレスのパスワードが流出すると、なりすましによる投稿やメール送信の被害に遭う恐れがあります。あとでパスワードが流出したと弁明しても、失った信用を取り戻すのは難しいでしょう。また、プライベートな写真などを多数保管していると、それらも無断で保存されたり拡散されてしまう危険があります。被害は自分だけでなく、マルウェアが仕込まれたメールなどを友人・知人に送信されてしまう危険性もあります。このようにパスワード流出は非常に深刻な事態をもたらす可能性があります。面倒だと思わずにしっかりと管理するようにしましょう。

ランサムウェア

ランサムウェアとはマルウェアの一種です。これに感染すると、コンピューター内部のシステムやファイルにアクセスできなくなってしまいます。具体的にはハードディスクを暗号化してロックする、特定のシステムをZIPファイル化して解凍できなくし、使用不可能にするなどがあります。ロックを解除するためのパスワードはランサムウェアの作成者だけが保持しており、解除のために金銭を要求するケースがほとんどです。これはもちろん不法行為に当たります。そのため、日本では「身代金要求型不正プログラム」と呼ばれることもあります。ランサムウェアに感染すると、「身代金」を支払うように要求するメッセージが送られてきます。身代金の支払いには、クレジットカードよりも、クーポンやプリペイドカードなどの電子決済システムが使われることが多いようです。また、最近ではビットコインなどの仮想通貨も使われているようです。ランサムウェアはもともとロシアなどの限られた国でのみ知られていましたが、最近では世界中で報告されており、コンピューターウイルスを用いた非合法な「ビジネス」として流行しつつあるようです。

ランサムウェアはPCのシステムの脆弱な部分を攻撃して侵入するタイプのウイルスのため、一般的に「トロイの木馬」と呼ばれるマルウェアと同じ感染経路になります。スパムメールや改ざんされた正規のウェブサイトなどから、PCの脆弱性を攻撃する不正なサイトに誘導することで感染を起こします。ウイルスが添付された迷惑メールを開かないのは当然ですが、ネットサーフィン中にも感染した事例も少なくないので、少しでも怪しいと思ったサイトは開かないようにしましょう。不正なサイトの中には、ランサムウェアを強制的にインストールさせる悪質なものも存在しています。また、Windows UpdateやAdobe Flash Player、Javaなど、定期的に更新されるプログラムは常に最新の状態にしておくことも重要です。旧いバージョンの場合、新しいウイルスに対応できず、感染してしまうリスクがあります。もちろん、ウイルスバスターなどのセキュリティソフトを導入しておくことは言うまでもありません。

最後にランサムウェアとIDやパスワードなどの個人情報との関係を書いておきましょう。ランサムウェアはPC内のシステムやファイルをロックすることで、ユーザーが使用できなくするものです。データの中身自体に損害を与えたり、外部に流出させるものではありません。ですが、ランサムウェアの仕組み自体はPC内部のデータを外部に流出させるマルウェアと同じです。つまり、ランサムウェアに感染するリスクがあるということは、データを流出させてしまうマルウェアにも感染するリスクがあるということ。IDやパスワードを盗まれないようにすることも重要ですが、PCをウイルスやマルウェアに感染させない、基本的なセキュリティ対策をしっかり行うことも肝要です。

ちょっとした工夫でできるおもしろいパスワードの設定

より安全なパスワードとは、数字とアルファベットをランダムに組み合わせたものです。それも長くなればなるほど安全性が高まります。例えば、pf40jd02ur3—t4310859f94fなどですね。手打ちの場合、タイピングの癖によってある程度パターンができてしまいますが、コンピューターを使って生成すればさらにランダムなパスワードを設定することができます。このような無作為に生成したパスワードは安全性が高い一方で、自分で記憶するのが難しく、エクセルに打ち込むか、メモ帳に手書きして管理することになります。パスワード自体の安全性は高いですが、その記録を管理する必要が出てくるため、記憶するよりも流出のリスクが高まります。最近では、個人が管理するIDとパスワードの件数が増えており、とてもすべてを記憶することは不可能です。自分の設定したパスワードを、規則的で覚えやすい特定のパターンで変換することができれば、パスワードをそのまま管理するよりは安全性が高まります。具体的な方法を見てみましょう。

1.英単語の頭文字を使う

例えば、This is a passwordという文章があったとします。それぞれの単語(this、is、a、password)の頭文字をパスワードにしてしまいます。この文の場合は、tiapになりますね。もちろん、TIAPのように大文字にする方法もありです。この方法のメリットは、パスワードをメモ帳やエクセルなどに管理するときに、パスワードそのものではなく、そのもとになる英文を入力しておけば、安全性がより高まることです。英単語の頭文字を入力するという単純な規則なので、パスワードに変換するためのパターンを忘れてしまうリスクは低いでしょう。もう少し複雑なパターンを使いたいという方は、例えば名詞と動詞、形容詞のみ頭文字をとり、副詞や助動詞、冠詞は無視するなどの方法もあります。例えば、You can not eat it nowであれば、YEIになりますね。唯一、問題を挙げるとすれば、英語が苦手な人にはパスワード設定が面倒くさいということでしょうか。特に品詞でイニシャルをとるかとらないかを決める場合、英語が嫌いな方にはお手上げということも…。その場合には、日本語の文章を使うという方法の方がいいかもしれません。

2.日本語の頭文字を使う

例えば、1f4h7n10a。一見意味不明ですが、「1月は冬4月は春7月は夏10月は秋」という文章の数字と頭文字をパスワードにしています。ただし、日本語は英語と違って単語と単語の間にスペースがないので、場合によっては頭を柔軟にして考える必要があります。また、「てにをは」などの助詞をどうするのかという問題もありますが、シンプルなのは例文のように名詞と助詞だけの文章を作ることです。日本語のイニシャルを使ったパスワードも、もとの文章をエクセルやメモ帳に記載しておけば、盗み見や覗き見によってパスワードが流出するリスクを減らすことができます。また、頭文字だけを入力するというパターンなので、変換の仕方を忘れてしまう可能性も低いです。自分だけが頭文字を入力するという変換パターンを覚えておけば、ある程度パスワードを設定するシステムやソフトウェアに関連する文章を使った場合でも、盗み見されても安全を確保できます。このような方法がまどろっこしくて面倒だという方には、もっと簡単な方法もあります。それは日本語をそのままアルファベット入力してしまうやり方です。

3.日本語をアルファベット入力する

例えば、korehajisyonopasuwadoというパスワード。ローマ字読みすれば分かりますが、もとの日本語は「これは辞書のパスワード」という文章です。頭文字を入力するワンステップが省けるので、複雑なパスワード設定が面倒だという方にはオススメです。安全性についても、passwordなどのように定番の英単語を入れるのではないので、辞書攻撃に対しても脆弱ではないでしょう。また、日本語の文章を使っているので、外国からの攻撃に対してもセキュリティ性は高いと言えます。問題点を挙げるなら、日本語をローマ字入力する場合に複数のパターンがある文字があること。例えば、「じょ」ならjyoとzyo、「ふ」ならhuとfuの2パターンがあります。もちろん、パターン自体は少ないので、1回間違えた場合には別のパターンを試せば済むだけですが、急いでいるときにはイライラしてしまうかもしれません。いずれにせよ、パスワード設定の方法には一長一短があるので、自分に合った方法を選ぶのがコツです。これまでに紹介した3つの方法がシンプル過ぎるという、凝り性の方には、数字の語呂合わせを使った方法もあります。

4.数字の語呂合わせを使う

当サイトでもたくさん紹介していますが、日本語の単語や文章を数字の語呂合わせに変えてパスワードにするのもありです。最近ではあまり見かけませんが、特に数字のみパスワードに使用できる場合にオススメです。例えば、4桁の数字なら、4510で「仕事」。まさに業務用のパスワードと言った感じですね。語呂合わせの場合も、もとの日本語をメモしておけば、安全性も保てます。ただし、語呂合わせの中には定番のものもあり、可能性は低いですが、もとの日本語を覗き見されてしまった場合、容易に数字に置き換えられてしまうものもあるので注意が必要です。例えば、4649(よろしく)なんてわかりやすいですよね。セキュリティの観点からは、理想的には自分で作成したオリジナルの語呂合わせで、なるべく数字の桁が増えるものが良いと言えます。しかし、数字の読み方にはいろいろなパターンがあり、奇をてらった長い語呂を作ってしまうと、もとの日本語を見ても数字に変換できないという危険があるので気をつけましょう。

5.歴史の年号を使う

パスワードの設定においてご法度と言われているのが、自分や家族の生年月日を使うこと。個人情報から簡単に知られてしまうため、パスワードとしては安全性が低く、不適切です。ですが、歴史上の人物の生誕日や、大きな事件や出来事があった日付を設定すれば、同じ年月日と言っても安全性は桁違いに高まります。この方法は特に歴史が好きな方にオススメです。月日まで入れた方が、桁が増えるのでより安全ですが、4桁の年号だけでも使えます。例えば、日本史でも1、2を争う人気の織田信長なら、生年月日は1534年6月23日、没年なら1582年6月21日です。生年または没年以外にも、有名な長篠の戦いの日(1575年6月29日)など、いくらでも広げることができます。ただし、歴史上の事件や有名人の年月日はインターネットなどで簡単に調べられてしまうため、メモ帳などに記載して管理する場合は、盗み見されないよう気をつけましょう。先ほどの例で言うなら、パスワードのメモ欄に「織田信長、生年月日」などと書いていると、盗み見された場合にはすぐに分かられてしまいます。単純に「織田信長」とだけ書いておく方が安全ですね。この辺は、どのようなパスワードを設定するのかと同様、安全性と管理のしやすさとの兼ね合いなので、各人が判断してください。

さらに安全性を高めるなら

上記の方法で設定したパスワードの安全性を高めるためには、いくらでも方法があります。いちばん安全なのは、数字やアルファベットを無作為に組み合わせることです。例えば、「3.日本語をアルファベット入力する」のkorehajisyonopasuwadoというパスワードなら、適当に数字とアルファベットを入れて、kordwehajd3isyo24nopadfafsuwad3rfoにするなどです。ただし、このやり方だとせっかく規則性のあるパスワードを作ったのに、結果的に最初からランダムな数字とアルファベットの組み合わせを使ったのと変わらないことになってしまいます。安全性は高まりますが、メモ帳などに直接パスワードを書き込んで管理する必要が出てきてしまい、盗み見されたときには流出のリスクが高まります。そこで、入れ込む数字とアルファベットは規則性をもたせると管理しやすくなります。例えば、3文字おきにp9を入れるなどです。korehajisyonopasuwadoなら、korp9ehap9jisp9yonp9opap9suwp9adop9になります。メモ帳で管理する場合も、もとの日本語文の「これは辞書のパスワード」に加えて、「3文字、p9」などと書き込んでおけば、設定した本人はすぐに思い出すことができます。あまり複雑にしたくないという場合は、パスワードの最後に特定の文字や数字を加えるなど、いくらでもシンプルな方法はあります(korehajisyonopasuwadoの最後にp9を加えて、korehajisyonopasuwadop9など)。追加する文字はランダムに選んだものでもよいし、メモ書きしたくないなら自分で覚えやすいものにするのもありです。