いまさら聞けない「パスワード」 やってはいけない設定は？：パスワードは安全か【前編】

パスワードは、デバイスやアプリケーション、Webサイトに安全にアクセスするために欠かせない手段だ。業務にも生活にも欠かせないパスワードについて、その基本や安全に利用するこつを解説する。

[Madelyn Bacon，TechTarget]

　パスワードにはさまざまな英字、数字、特殊文字、またはこれらの文字の組み合わせが使用される。英字のみや数字のみのパスワードに比べ、英字、数字、特殊文字を組み合わせるパスワードの方が強力だと見なされ、盗難や侵害の被害に遭いづらくなる。

　誰にとっても身近な存在なのがパスワードだ。被害に遭わないためには、どのようなパスワードが危険なのかを知っておくことが欠かせない。安全なパスワードはどのように作成すればいいのかを解説する。

こんなパスワードは危険　安全なパスワードの特徴とは

併せて読みたいお薦め記事

脱パスワード論

• パスワード不要の「パスキー」のメリットと“見過ごせない注意点”を解説
• 「脱パスワード」するには？　パスワードレスを“3ステップ”で実現

　攻撃者は以下のような手法でパスワードを窃取する。

• 辞書に載っている単語をパスワードの推測に利用する「辞書攻撃」
• 平文とハッシュ値（特定の計算方法で複雑な文字列にした値）の組み合わせ表である「レインボーテーブル」を利用して、ハッシュ化されたパスワードを解読する「レインボーテーブル攻撃」
• 考えられる全ての組み合わせを試す「ブルートフォース攻撃」
• 流出したログイン情報を使ってアプリケーションへの自動ログインを試みる「クレデンシャルスタッフィング」

　例えば、「santaclaus」「password」「12345678」は、攻撃者による推測が簡単で、容易に侵害できるため、いずれも脆弱（ぜいじゃく）なパスワードだ。「Mandal#orian@1980!!」や「U&see#me!2024」は、簡単には推測できず、侵害の難易度が高くなるため、強力なパスワードと見なされる。

　パスワードを強力にするほど、アカウントやユーザーを適切に保護できる。つまり、アカウントやユーザーは、攻撃者に侵害される可能性が低くなる。そのため、現代のどのアプリケーションやどのセキュリティ専門家も、強力なパスワードを用意することをユーザーに推奨している。

チャレンジレスポンス認証

　チャレンジレスポンス認証とは、認証サーバから送られてくるデータ（チャレンジ）を基にクライアントが持っている、パスワードや秘密鍵などの情報を組み合わせて演算し、ハッシュ値を認証サーバに「レスポンス」として返すことによって認証するメカニズムだ。この場合、パスワードや秘密鍵は正当なユーザーのみであることが前提となる。

　チャレンジレスポンスの仕組みを利用した認証方式は次の通りだ。

• 生体認証
• 「CAPTCHA」（ゆがみ文字列による認証方式）
• 「SSH」（Secure Shell）
• ワンタイムパスワード
• 「OCRA」（OATH Challenge-Response Algorithm）
• 「CHAP」（Challenge-Handshake Authentication Protocol）

安全なパスワードの作り方

　パスワードを強力に設定して保護すれば、ユーザーは安全かつ安心してコミュニケーションが取れる。パスワードの強力さと有効性を高めるため、パスワードのポリシーを定めている企業は珍しくない。企業はパスワードのポリシーを、ユーザーによる強力なパスワードの作成を支援し、ログイン資格情報の管理にベストプラクティスを導入して、盗難やセキュリティ侵害からパスワードを保護するよう設計すべきだ

　強力なパスワードを作るためのルールを以下に幾つか紹介する。

• 文字の長さを最短8文字から最長16〜64文字の間にする
  • パスワードの長さに制限はない。だが、長過ぎるとユーザーが覚えやすいパスワードを設定して推測されたり、紙のメモに転記して漏えいしたりするリスクが強くなる。短くても複雑で推測されにくいパスワードを設定する必要がある。
• 大文字と小文字を区別して混在させる
• 数字を1文字以上使用する
• 特殊文字を1文字以上使用する
• 子どもの名前、ペットの名前、誕生日など、推測しやすい要素は使用しない

　強力なパスワードの作成や作成したパスワードの保護にはパスワードマネジャーが役に立つ。最後に、テキストファイルやMicrosoftの文書作成ツール「Microsoft Excel」のファイルのような暗号化されていない場所に決してパスワードを保存しないのがセキュリティのベストプラクティスだ。

強力なパスワードとパスフレーズ

　パスワードを強力にするために重要なことは、十分な長さにすることや文字の種類を混在させることだ。近年、セキュリティの専門家が推奨しているのが、複数のランダムな単語やフレーズ（言い回し）を組み合わせる「パスフレーズ」だ。パスフレーズと英字、記号、数字を組み合わせることで強力なパスワードとなる。

　例えば、「my hobby is buying shoes online」（靴をオンラインで購入するのが趣味）というフレーズであれば、「Myho88y!$buYing$HO3$0nlin3」とすることで複雑になり、侵害や盗難のリスクを抑えられる。

脆弱なパスワードのリスク

　ユーザーも企業も、攻撃者が容易に探り出せる脆弱なパスワードをなくすよう努める必要がある。攻撃者はパスワードを窃取して以下のようなことをたくらんでいる。

• ユーザーのデジタルリソースへの不正アクセス
• データ侵害
• アカウント乗っ取り攻撃
• 個人の識別情報の窃盗（ID窃盗）
• 個人や企業の資金や知的財産の窃盗

　一般的には「password」のような1つの単語だったり、「12345678」など、1から始まる連続数字を使用したり、誕生日、身内の名前、自宅の住所、ペットや子どもの名前といった入手可能な情報を含めると脆弱になる。

---

　次回はパスワード、パスキー、パスフレーズの違いを整理する。

TechTarget発　先取りITトレンド

米国Informa TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。