安全なパスワードの基本とは？

パスワードでアカウントや情報を管理する際、大切なのは他人に不正使用されない文字列の選択です。
安全なパスワードづくりの基本をまとめてみます。
参考：アカウントとは？意味を解説

他人から想像がつくパスワードにはしない

よくある危険なパスワードの作り方は「誕生日をパスワードにする」パターンです。

とくに財布を落としてしまった場合、学生証やIDカードなど生年月日の載ったカードも一緒に落とすことになるため、パスワードが容易に暴かれてしまい大変危険です。

免許証などを落としていなくても、ショッピングサイトなどから氏名と生年月日が流出してしまい、その情報と組み合わせてパスワードが突破される可能性があります。

安全なネット生活には、自分と縁のない文字列・数字を使ったパスワード設定が必要です。

同じパスワードを使い回さない

インターネットを活用していると20、30……と多くのパスワードが必要になります。

つい同じパスワードを使ってしまいがちですが、これもなかなか危険です。あるサイトからパスワードが流出した際、他のサイトまで被害を受ける可能性があります。

現に80%以上の利用者がパスワードを使いまわし、20%が不正アクセスなどの被害にあっているというデータもあります。


どれだけ面倒でも、サイトごとに異なったパスワードを設定するようにしましょう。

「1111111」「12345678」「password」……は論外

これもよくあるNGパスワードの典型ですが、実は多くの人がこうした単純なパスワードに設定しているそうです。


覚えやすいパスワードは同時に盗まれやすいと考えましょう。

最近のネットサービスではこれらの安直なパスワードには設定できないサイトも増えています。

ローマ字・数字・記号を混ぜる

ハッカーは自動につぎつぎパスワードをつくるプログラムを作り、ヒットするまでくり返す攻撃を行います。

それを防ぐためには少しでも複雑な内容にするのがベスト。

ローマ字だけなら26×26×26……の組み合わせですが、10種類の数字と10種類の記号を混ぜればそれだけで46×46×46……となり、組み合わせの数は一気に増えます。

サービスによっては使える記号の種類が異なる場合もありますのでご注意ください。

二段階認証を利用する

Apple ID、Microsoftアカウント、Googleアカウントなどは二段階認証を推奨しています。

これはパスワードを入力したあと、メールアドレスやSMS（ショートメッセージ）に送信されてくる数字を入力する作業を通して「二段階に」確認する方法です。

本人確認済みの携帯電話を利用するのでセキュリティが高まるメリットがあります。

パスワードが漏れるとどうなる？

パスワードが漏れると、個人情報の流出だけではなくさまざまな被害を被るケースもあります。自分が損をするだけではなく、他者に迷惑をかけてしまうこともあります。パスワードが漏れたときは実際にどのような被害があるのか、あらかじめ理解しておきましょう。

金銭的な被害を受ける

不正ログインの被害に遭うと、ショッピングサイトなどで知らない間に買い物をされてしまうケースがあります。本人が不正ログインに長期間気が付かない場合は、高額な買い物を繰り返され金銭的な被害を受けることも。そのため、日ごろからクレジットカードや銀行残高などは、こまめにチェックすることが大切です。

また、セブン＆アイ・ホールディングスによる「7pay（セブンペイ）」は、QRコード決済サービスとしてサービスを始めましたが、不正アクセスを受け金銭的被害を被りました。この被害の原因として、IDとパスワードの漏洩が考えられています。「リスト型攻撃」を受けたとして、早期に7payのサービスは中止となりました。

「アカウントリスト攻撃」とは？
アカウントリスト攻撃とは、オンラインサービスへの不正ログインを狙った不正アクセス攻撃の一種です。不正ログインのためにIDとパスワードがセットとなったアカウント情報リストを利用することを示し、従来からある不正ログイン攻撃手法であるブルートフォース攻撃や辞書攻撃と区別するための呼称です。

引用：TREND MICRO

犯罪の加害者になるケースがある

自身が知らないうちにパスワードを盗まれてしまうことで、SNSやメールアドレスを利用されてウイルスのばらまきに加担していることがあります。SMSに知らない人からURL付きのショートメールが届いて、不審に感じたことがある人も少なくないでしょう。

自身のパスワードが盗まれてメールアドレスが利用され、不特定多数の人にフィッシングサイトなどへの勧誘メールがばらまかれたとします。そうすると、知らない間に自身が多くの人を騙し、金銭やパスワードなどを盗んでしまうことに加担することになります。

どのようにしてパスワードを突破されるのか

他人のパスワードを取得して不正ログインを行う手法には様々なものがあります。ここではいくつかの手法を紹介しますので、自分のパスワードを守る際の参考にしてください(悪用は厳禁です)。

ショルダーハッキング

ショルダーハッキングはかなり原始的な手法ですが、パスワードを盗み出される確実性が高いため常に注意しておきたいものになります。

方法は単純で、パスワードを入力する際の画面や手元を見てパスワードを盗み出します。この時、肩越しに盗み見たりすることが多いので、「ショルダーハッキング」という名前がついています。

もしかすると、スマホのパスワードを友人が盗み見ており、遊びに延長線上でロックを解除された経験がある方もいらっしゃるのではないでしょうか。これもショルダーハッキングの一種ということができるでしょう。気心の知れた友人ならあまり問題にならないかもしれませんが、しかしそれほどカジュアルに行えてしまうのがこの手法の怖いところです。

ショルダーハッキングを行われると、パスワードがどんなに複雑でも意味を為しません。パスワードを入力する際は、他の人には見られないように十分注意しましょう。

辞書攻撃

辞書攻撃は、パスワード攻撃用の辞書に登録されている単語の組み合わせを順番に試していく方法です。この方法では、パスワードに設定されている確率の高い単語から順番に試していくため、わかりやすいパスワードの場合は突破されるリスクがかなり高くなります。

しかもこの作業は、人間ではなくコンピュータが行う場合もあります。人間よりもずっと速いスピードで処理を行うことができるので、それだけパスワードを突破される確率も高くなります。パスワードを設定する際は、できるだけ複雑なものを設定するようにしましょう。

パスワードスプレー攻撃

パスワードを盗み出そうとする時は、基本的には特定のアカウントを対象にすることが多いです。しかし、誰のアカウントでも盗み出せればOKという場合は、他の手法が使われることがあります。それがパスワードスプレー攻撃です。

パスワードスプレー攻撃では、使用率の高いパスワードを固定的に使用して、ログインに必要なユーザー名やメールアドレスなどの情報を何度も変更して攻撃を仕掛けます。現代的なWebサービスでは繰り返しパスワードを間違えるとロックがかかることもありますが、この攻撃ではそれぞれのユーザー名やメールアドレスごとにログインが試行されているため、サービス側が検知しにくいのです。

これもパスワードを複雑にすることで防止することができますので、パスワードは面倒臭がらずにちゃんと設定しましょう。

記憶に残り、でも安全なパスワードづくりのアイデア集

「かんたんなパスワードは盗まれやすい」でも「複雑なパスワードはおぼえられない」そんなジレンマに悩んでいるひとも多いでしょう。

たしかに「_&#XJKbS,eu6L~cYgw,b」などの文字列は安全性が高いでしょう。とはいえ、この種類のパスワードを20種類記憶できるひとはまずいません。

ノートやExcelシートに記憶させるのは、別の危険につながります。（あとで詳しく述べます）

そこでここでは「記憶に残りやすく」「比較的安全性の高い」パスワードの作り方を考えてみました。

2つの言葉をつなげる

意味のある単語は危険性が高いとよく言われますが、関係のない単語を2つつなげると危険性はかなり減るようです。

たとえば「cheetah（チーター）」だけをパスワードにするのは安全とは言えません。

でも「cheetah」をまったく関係性のない「frypan（フライパン）」とつなげて「cheetahfrypan」とし、さらに数字と記号「20_#3」を付けて「cheetahfrypan20_#3」とすれば安全性はかなり高まります。

さかさにしてみる

意味のある単語の危険性を減らすテクニックに「さかさにする」方法があります。

「cheetah」よりも単語を逆の順にスペルする「hateehc」の方がぐんと安全性は増します。記憶するのも比較的かんたんな方法です。

単語の一部を大文字にする

最近のwebサービスにはパスワードに「大文字小文字数字を使う」と指定する場合も増えています。

しかし上記の例で「cheetah」の最初の文字を大文字にして「Cheetah」にしても安全性の向上はさほど見られません。

一方で「cheEtah」や「cHeEtAh」のように通常ありえない場所を大文字にするとより推測は困難になります。

ただし大文字にした部分を忘れるとログインできなくなるので注意しましょう。

部屋のなかにある「なにか」を利用する

これは複数のパスワードを使って混乱しないのに有効な方法です。

まず、パスワード作成のとき部屋にあるCDラックや本棚の場所に行きます。

最初のパスワードは「ラック1段目左から10枚のＣＤタイトルの末尾文字を並べる」、2番目は「ラックの2段目……」としていけば比較的かんたんに10種類ぐらいのパスワードを管理できます。

子ども用の動物図鑑を使ってlion、tiger、cheetah……と順に作っていくのも良いですね。タレント名鑑やMLBやNFL、NBAの選手一覧なども使えそうです。

パスワード管理も「暗号化」する

このようにして工夫して複雑化するパスワードですが複数を頭の中だけで記憶するのはやはり困難です。

職場などの他人も出入りする場所でパソコンに付箋を貼っておくのも非常に危険と考えましょう。

ひとによっては紙の「パスワード帳」やExcelでpassword.xlsxといったファイルで管理しますが、この記録自体が盗まれたときの危険性も大変に大きくなります。

そんな場合はじぶんなりにパスワード管理にも暗号化するといいでしょう。

たとえば上のやりかたで「動物図鑑」と「クッキングブック」を使ってパスワードをつくっているとしましょう。

チーターとグラタンをくっつけて「cheEtahgraTin20_#3」とパスワードをつくったらノートやExcelファイルに「ACcg4（アニマル＝動物図鑑、クックブック、チーター、グラタン、それぞれの4文字目を大文字にする）」と記録しておけば、自分以外の人からパスワードを類推される危険性は下げつつ、パスワード忘れを防止できます。

ネット上などの便利なサービスも

以上でパスワードを忘れにくくなる工夫をまとめました。でも、「もっと簡単な方法はないの？」と考える方もいますよね。
そんな方は、webサービスやアプリを利用する方法もあります。具体的にはこのような方法です。

1Passwordを利用する

パスワード管理を安全かつ簡単にできるサービスは1Passwordです。

複数のパスワードを生成できる機能を備えおり、決定したパスワードと重要なデータを1つのマスターパスワードで管理できるので、世界で1500万人に愛用されています。

さらにパスワードを使わず、生体認証でログインできる技術にも対応しているため、ログインしたサイトにパスワードを送付せず、流出の危険やフィッシング詐欺に合うリスクも下げることができます。

SSO(シングルサインオン）を利用する

SSO（Single Sign On＝シングルサインオン）とは一つのIDとパスワードにより、いくつものWebサービスなどにログインする方法です。

ユーザーはそのサービスやアプリにログインするだけでよく、あとは自動的に生成されたIDとパスワードでそれぞれのサイトにログインできます。

Google Chromeの自動生成パスワードを使う

Windows、MacOS、iOS、Androidのいずれでも使えるwebブラウザのGoogle Chromeにはパスワードの自動生成機能があります。

パスワード設定画面に入ると「自動生成しますか」とメッセージが出て、Yesを選択すると安全性の高い複雑なパスワードによりログインできるようになります。

パスワードはChrome自身が記憶してくれるのでメモをとる必要もなく必要な場面には自動的に入力されます。Chromeの同期がonになっている場合にはPCで自動生成したパスワードによりiOSやAndroid端末にもログインできます。


ただしGoogleアカウントにログインしているのが前提となるため、出先のパソコンなどではログインが困難になる場合もあります。Chromeがインストールされていない端末ではこの機能が利用できないのでご注意ください。

パスワード生成ツールを使う

安全なパスワードを自動生成してくれるwebアプリもあります。


LUFTTOOLSの提供するパスワード生成ツールでは「カスタム」「強力」「最強」それぞれに「使用文字」「文字数」などを指定して一気に50個まで作成してダウンロードできます。

ただし保管まではしてくれないのでダウンロードしたパスワードの一覧は慎重な管理が必要になります。

まとめ｜パスワードは最新情報とツールでアップデートしながら付き合っていこう

コンピュータの歴史がはじまって以来、パスワードをめぐる攻防はつづいてきました。「安全なパスワードのつくり方」をだれかが考えるとハッカーは「最新のパスワードの盗み方を考案する」……その連続でした。

今回ご紹介したのは「現時点で比較的利用しやすく安全性も高い」方法ですが、ずっとベストな方法であるとは限りません。

この分野には限りませんがICT技術とかしこく付き合っていくには最新情報を収集しながら対応方法をアップデートしているのが安全に思われます。

情報には敏感に！一人一人が工夫しながら快適で安全なネット生活を実現していきましょう。