皆さんは、パスワードを考える時に、組み合わせの複雑さや管理方法について考えたことはありますか?
ほとんどの人は、同じパスワードを別々のサービスでも使い回していたり、覚えやすいようにと、何かのキーワードを含んだ文字列にしているのではないでしょうか?
しかし、パスワードの強度や管理方法をしっかりと行なっていなければ、第三者にパスワードを推測されてしまい、最悪の場合、アカウントの乗っ取りなどの被害遭ってしまう確率が高まってしまいます。
そこで、今回は複雑で強力なパスワードを作る方法と、安全に管理する仕方について詳しく解説していきたいと思います。
目次
複雑で強力なパスワードを生成する重要性
複雑で強力なパスワードを使うことによって、クラッカーなどの悪意のある第三者から文字列を推測されるリスクを減らすことができるようになります。
もしもパスワードが短かすぎたり、特定のキーワードを含んだ文字で作ってしまうと、ハッキングツールなどによって容易にパスワードを解読されてしまうでしょう。
ですので、「パスワード生成ツール」などの強固なパスワードを作れるサービスを使って、ランダムな文字列で生成することをオススメします。
また、パスワードを作ることの条件として、文字は8文字以上で、数字と大文字小文字の英文字を含むランダムな文字列にすることが、生成する上での最低条件です。
ちなみに、SNSのアカウント情報とは少し異なりますが、パスワードを初期設定のまま使っている場合などは特に要注意でして、特殊な知識を持っていない一般の人でも、製品情報などをネット検索するだけで簡単にパスワードを推測することができてしまいます。
パスワードがハッキングされた事件
パスワードの流出ルートは様々ですが、今回はアプリケーション側の脆弱性ではなく、強度の低いパスワードを使っていたり、ユーザー自身の管理方法が杜撰だったことによって起こったハッキング事件について紹介していきます。
パスワードクラッキングは、クラッカーが標的を決めて行われる場合や、無作為に攻撃を試みるパターンもあり、自分自身が被害に遭うことも考えられるので、決して他人事と考えないようにしましょう。
また、パスワードクラッキングの怖い点として、乗っ取られるのは、まだ第一段階で、奪った情報を利用して犯罪に使われるケースがあるので、被害者側の人が警察に誤認逮捕されるケースなどもあります。
推測されやすいパスワード
推測されやすいパスワードは、真っ先にクラッカーが試してくる文字列ですので、パスワードを初期設定のままにしている人や、SNSのユーザー名や誕生日を含んだ文字などを使っている人は、すぐにパスワード変更することをオススメします。
ちなみに、世界で一番よく使われているパスワードの文字列は「123456」でして、いかに人々がパスワードの管理意識が低いかがよくわかります。
そして、以下が推測されやすい脆弱なパスワードの、大凡のリストになります。
推測されるパスワード
- dragon
- baseball
- football
- user
- admin
- administrator
- root
- toor
- pass
- password
- mypassword
- abc123
- 111111
- 123456
- 123456789
パスワード攻撃に用いられる手法
クラッカーがパスワードを推測する時によく使う手法として、ソーシャルエンジニアリングなどの、人の心理を巧みに利用したパスワードのハッキング方法もありますが、ツールを利用したパスワードクラッキングが手軽であるため、そちらもよく利用されます。
ツールを使用した場合、パスワードに使われそうな文字列を事前に用意しておき、プログラムで自動的にパスワードが有効かを確かめていく、やり方になります。
そのような、自動的にパスワードクラッキングする代表的な手法が以下2つになります。
総当たり攻撃
総当たり攻撃とは「ブルートフォースアタック」と呼ばれるハッキング手法の一種で、「Crunch」と呼ばれるLinuxコマンドなどを利用して、パスワードクラッキングに使うための、文字や数字の組み合わせたテキストファイルを作成し、プログラムで一つ一つ有効かを確かめていくやり方になります。
「総当たり」とある通り、かなり力技なハッキング方法であるため、性能の良いパソコンでなければ解析に時間がかかってしまうというデメリットがありますが、逆に言えば、時間さえあれば確実にパスワードが解読されてしまう危険性がありますので油断はできません。
辞書攻撃
辞書攻撃とは、あらかじめパスワードに使われていそうな単語リストを用意しておき、一つ一つ有効かをプログラムで試していくクラッキング手法になります。
辞書攻撃は複雑なパスワードを設定している人であれば、解読される危険性は、ほとんどありませんが、パスワードに単語を使用している人や初期設定の文字列を使っている場合などは、見破られてしまう危険性があります。
また、辞書として使われるファイルには日本語のローマ字も含まれているので、パスワードを生成する時は、日本の単語であっても盛り込むことは避けるようにしましょう。
パスワードの安全な管理方法
ここまではパスワードなどの個人情報流出事件や、クラッカーのパスワード解析の手法について紹介してきましたが、どれだけ長いパスワードを作ってもクラッキングされるリスクがあることを理解していただけたかと思います。
「じゃあ、パスワードを長い文字にしても一緒じゃん!」と思う人もいるかもしれませんが、それは大きな間違いであり、パスワードセキュリティはパスワードの複雑さと管理法の両方が合わさって最大限効力を発揮するものです。
例えば、同じIPアドレスから複数回アクセスがあった場合にブロックする仕組みを導入したり、2段階認証アプリなどのツールを使うことでセキュリティをさらに強固なもにすることができます。
特に2段階認証はパスワードが破られても、本人と紐付けがされている端末との確認が行われるので、ハッキングの被害に遭う確率をさらに減らすことが期待できます。
2段階認証アプリ
2段階認証が使えるサービスを使っている場合は、以下のアプリを導入しておくことをオススメします。
どちらのアプリもGoogleが提供するものでして、このアプリ単体で動作するものではなく、パスワードを設定したサービス側で、2段階認証の設定を済ませてから使うようにしましょう。
| Google Authenticator (iOS) | Google 認証システム (Android) |
|---|---|
 |  |
パスワード管理アプリを使う
使うアプリケーションごとに異なるパスワードにすることはセキュリティ上とても良いことですが、多くのサービスを利用していると管理も大変になってきます。
そこでオススメなのが、「パスワード管理アプリ」でして、以下のアプリを使えば、面倒なデバイス間でのパスワード同期や、パスワードの生成から保存までを一括で行うことが可能です。
Keeper (iOS向け)
| アイコン | こんな人にオススメ |
|---|---|
 |
|
SIS-パス管理 (Android向け)
| アイコン | こんな人にオススメ |
|---|---|
 |
|
まとめ
今回は、複雑で強力なパスワードを生成する方法と、安全な管理の仕方について解説してきましたが、いかがでしたでしょうか?
パスワードのクラッキングは、パソコンの性能向上や、SNSの利用が広がり、個人が情報を発信する機会が増えたため、素人でも手軽にリサーチして簡単にクラッキングできるようになってきています。
さらに現代においては、長くて複雑なパスワードを使っていれば必ず安全とも言えないのが現実でして、個人情報が漏洩しないためには、管理の仕方を工夫したり、怪しいサイトに気をつけるなどして、普段からセキュリティ意識を高く持っておく必要があります。
また、セキリュティを最大限に固めなくてはならない人などは、攻撃者の心理に立って対策を考えることも非常に重要ですので、必ずインシデント発生に繋がるリスクを把握しておくようにしましょう。
それでは、皆さん良いセキュリティライフを!