大人のとれんでぃ

大人になって「あ、あまり世の中のことに興味持っていないな…」と焦った時にちょっと世の中の新しいことが分かるブログ。

パスワード/おすすめの決め方、攻撃者の手口、保管方法、チェック法

スポンサーリンク

あなたはパスワードをどのように決めたらいいのか悩み、おすすめのパスワードの決め方があれば知りたいと思ったことはありませんか?

 

現在のデジタル社会ではパスワードは重要ですが、パスワードが破られると深刻なトラブルにつながってしまいます。

 

今回はパスワードのおすすめの決め方を、攻撃者のパスワード詐取の手法などを通じてお話していきます。

 

パスワードのおすすめの決め方

f:id:sasaic10:20211215061605j:plain

パスワードの文字数を多くする

まずパスワードの文字数を多くすることが重要です。

よく「パスワードを定期的に変更してください」とWebサイトに記述されていますが、手間がかかる上にパスワードの管理が非常に大変です。

 

文字数を多くして強力なパスワードを設定すれば定期的に変更する必要はありません。

ちなみに最近ではパスワードの文字数は14文字以上が推奨とされています。

 

日本語のローマ字表記を混ぜる

パスワードの文字数を多くすると覚えるのが大変です。

 

そのためことわざや小説のタイトルなど、自分が覚えやすい日本語のローマ字表記をパスワードにする手があります。

 

たとえば以下の条件で日本のことわざである「塵も積もれば山となる」をパスワードにしてみます。

 

<パスワード条件>

  • 文字数は8文字以上
  • 数字
  • 大文字小文字の英字
  • 記号を混ぜる【Googleパスワードで使用できる記号】!"#$%&'()*+,-./:;<=>?@[]^_`{|}~

 

「塵も積もれば山となる」 → 「Chirim0tsum0reba-yamat0naru」(27文字)

 

上記のように一文字目は大文字、アルファベットの「o(オー)」を数字の「0」に変えることで半角英数と大文字小文字を混ぜる条件を満たします。また文の区切りに「-(ハイフン)」を混ぜています。

 

有名なことわざでしたら覚えやすい上に、攻撃を仕掛けるのは外国人が主なので日本語は予測できない可能性が高いです。

 

パスワードの頭文字や末尾などにキーワードを付ける

パスワードの頭文字や末尾などにわかりやすいキーワードを付けます。

 

<パスワードの例>

Google → Goo○○○○○ または ○○○○○goo

Yahoo → Yah○○○○○ または ○○○○○yah

AmazonAma○○○○○ または ○○○○○ama

 

そうすれば○○○○○の部分は共通の文字列でもパスワードの使いまわしを避ける事が出来ます。

 

スポンサーリンク

 

 

攻撃者がパスワードを盗み出す手口

f:id:sasaic10:20211215061518j:plain

ここからは攻撃者がパスワードを盗み出す手口についてお話します。

攻撃者がユーザーのパスワードを盗み出す、または不正ログインを行う手口はどのようなものでしょうか。

 

今回はその手口について一例をお話します。

攻撃者のパスワードを盗み出す手口を知っておくと、設定NGのパスワードを把握しやすくなると思います。

 

ソーシャルエンジニアリング

ソーシャルエンジニアリングとは、技術的ではなく直接他人の行為に関わって個人情報を詐取する手法です。

 

分かりやすい例では銀行ATMで暗証番号を入力中に後ろからキー操作を盗み見る行為(ショルダーハッキング)や、パスワードが記載されているメモを不用意に捨ててしまい、そのメモを盗み見る行為(トラッシング)などがあります。

 

その他にも会社内の人間になりすまして、会社のパスワードを聞き出すケースもあります。

短いパスワードだと一目で文字列を覚えられるため被害に遭いやすいです。

 

ブルートフォース攻撃(総当たり攻撃)

ブルートフォース攻撃(総当たり攻撃)とは、攻撃者が知りえたIDをターゲットにして、考えられるパスワードを総当たりでコンピュータに試してもらいログインを試みます。

 

パスワードの文字数が短いほどやぶられる確率が上がります。

最近のコンピュータの性能では8桁のパスワードでもすぐにやぶられる可能性があるそうです。

 

辞書攻撃

辞書攻撃とは語学辞書などでの意味のある単語をリストにして、片端から入力してパスワードを盗み出す攻撃です。

 

Apple1234やorange5678など、辞書に掲載されている言葉に数字を加えただけでは真っ先に狙われます。

 

パスワードリスト攻撃

パスワードリスト攻撃とは、Webサイトなどで詐取したIDとパスワードをリスト化して、別のWebサイトでログインを試みる攻撃です。

 

同じIDとパスワードを様々なWebサイトで使いまわすと不正ログインされる可能性があります。

 

パスワードの保管方法

f:id:sasaic10:20211215061532j:plain

パスワードの保管方法ですが、せっかくパスワードを設定しても忘れてしまうと意味がありません。

パスワードを「記憶する」ことが一番の管理方法ですが人間は必ず忘れる生き物です。

 

たとえ覚えやすいパスワードを設定しても、よほど記憶能力が優れていない限りたくさんの種類のパスワードを覚えるのは難しいです。

 

また万が一パスワードを設定した方にトラブルが起きてしまったらパスワードは永遠にわからなくなる可能性もあります。

何かしらの形でパスワードを残しておくのが無難と思います。

 

パスワードを紙に書く

パスワードをノートなど紙に書いておくのが無難です。

ただしノートを盗み見されたり盗まれたりなどの、ソーシャルエンジニアリングには気を付けましょう。

 

パスワードをExcelで保存

パスワードをExcelで保存しておけば管理がしやすい上に、Excelファイル自身にもパスワードがかけられるので安全です。

ただしExcelファイルのパスワードだけはメモしておくのがいいでしょう。

 

パスワード管理アプリを使う

有料のアプリが多いですが様々なパスワード管理アプリがありますので、しっかり管理してほしい場合はアプリを使うのも手です。

 

スポンサーリンク

 

 

パスワード豆知識

f:id:sasaic10:20211215061546j:plain

ここではパスワードを設定する上でのちょっとした豆知識をお話しします。

 

パスワードの組み合わせは何通りか?

パスワードの組み合わせは何通りかという事ですが、計算式は以下の通りです。

 

パスワードの組み合わせ数 = (使用できる文字の種類の数)の(パスワードの文字数)乗

 

たとえば0~9の数字4桁のパスワードは使用できる文字の種類の数は10個なので、10の4乗で10000通りです。

そのためパスワードの文字数が多ければ多いほど解読されにくくなります。

 

PINと認証パスワードの違い

PINと認証パスワードはどちらも文字列を照合する認証方法ですが大きな違いがあります。

 

PINはICカードや認証アプリをインストールしたスマホなどインターネットを経由しない機器を対象にやり取りする認証方法で、認証パスワードは相手側の認証サーバーなどインターネットを経由するやり取りする認証方法になります。

 

PINはICカードや認証アプリをインストールしたスマホやパソコンなどがないと認証できませんが、パスワード認証は第三者のパソコンやスマホなどの様々な端末からでも認証できてしまいます。

そのため三者の人間が認証できないPINの方が安全という事になります。

 

PINが4桁の暗証番号なので、認証パスワードも4桁のパスワードに設定しても安全だと勘違いしないように気を付けましょう。

 

パスワード強度をチェックするページ

パスワード強度をチェックするページとしては、カスペルスキーの「パスワードチェッカー」があります。

 

パスワードの強度と過去にパスワードが漏洩しているかどうかをチェックしてくれます。

 

<パスワードチェッカーのURL>

password.kaspersky.com

 

まとめ

パスワードの設定は悩むところですが現在のデジタル社会では非常に重要です。

 

工夫次第で覚えやすくセキュリティがしっかりしたパスワードを設定することができます。

 

あなたも自分なりの工夫したパスワードの設定方法を検討してみて安全なデジタル社会を過ごしていきましょう。