IPA(情報処理推進機構)が提案するパスワードの作成方法を紹介

【この記事はIT系ライター M氏 が書きました】

セキュリティ企業のSplashDataは、去年の12月19日に2017年版の「最悪のパスワード100」を発表しました。このランキングは、インターネットユーザーが使用するパスワードに「よく利用する文字列」の順位を毎年発表しているものです。

これによると、危険だということがわかっていてもパスワードを入力するのが面倒なのかワースト1は、「123456」で2位は「password」になっています。この2つは同社が毎年ランキングを集計するようになった2011年版以降、常にトップにランキングされる常連パスワードで、3位に「12345678」、4位に、キーボード配列の「qwerty」、5位は「12345」でした。 また、「123456789」(6位)などの数字の単純なものや、「football」(9位)、あるいは「starwars」(16位)などに関する好きなスポーツや映画作品の名前をパスワードにしたものも上位にランクインしています。

このランキングに掲載されているようなパスワードの使用は避けて、英文字、数字、記号などを組み合わせた8文字以上(可能であれば12文字以上)のできるだけ長い文字列に設定することをおすすめします。

最悪のパスワード TOP25

1位:123456
2位:password
3位:12345678
4位:qwerty
5位:12345
6位:123456789
7位:letmein
8位:1234567
9位:football
10位:iloveyou
11位:admin
12位:welcome
13位:monkey
14位:login
15位:abc123
16位:starwars
17位:123123
18位:dragon
19位:passw0rd
20位:master
21位:hello
22位:freedom
23位:whatever
24位:qazwsx
25位:trustno1

パスワードの「使い回し」は危険

トレンドマイクロの調査によると、インターネット利用者の8割以上がパスワードを使い回しており、使い回しをする理由は「異なるパスワードを設定すると忘れてしまう」が69.7%、「異なるパスワードを考えるのが面倒」が45.3%だった。

スマホアプリやインターネットでログインする必要が当たり前になってきている時代であり、インターネットの活用をあまりしない人でも、10~20個のウェブサイトを利用していると推測できます。複雑なパスワードを利用していても、1つ漏れたら全て終わりになってしまいます。攻撃者は、手に入れたID/パスワードを利用して、簡単に芋づる式でいろんなサイトに不正アクセスできてしまいます。

忘れにくくするためにパスワードの一部を使い分けて設定する

記憶しやすい文字列を優先したり、予測できる単語や数値をパスワードとして設定すると、パスワードの文字列を総当たりで試す「ブルートフォース攻撃」や、よく利用する文字列の集まりを試す「辞書攻撃」の餌食となります。

複雑で推測されにくく、サイトごとに使い分けるて忘れないようにする。パスワードの設定では、ある一定の要求をみたさなければならない。これを満たすパスワードの作り方として、IPA(情報処理推進機構)がパスワードの設定方法を提案している。
複雑さと推測されにくさを保った「コアパスワード」、サービスごとに変更する「識別文字列」の組みあわせになります。
今後、パスワードを作るときに参考にしていただきたい。

コアパスワードの作成は、以下のリンクを参照してください。
複雑なパスワードを強制、でも破られやすいという現実(ITpro)
http://itpro.nikkeibp.co.jp/atcl/column/17/092800400/101200002/

コアパスワードが完成したら、コアパスワードを先頭につけたり、真ん中につけたり、末尾につけたりします。
このパスワードの作り方だと、どうしても文字列が長くなってしまうので、長いパスワードが利用できないサイトではランダムな文字列を使うなど個人のルールを決めて作成するなどしていきましょう。

パスワードは紙に書いて記憶しよう

やっぱり「パスワードを忘れてしまうかもしれない」という不安が残ります。コアパスワードを忘れてしまうといろいろなサイトへのログインができなくなってしまいます。また、利用機会が少ないサイトでのパスワード入力は忘れてしまうおそれがあります。この問題を解決するためにはパスワードを紙に書いて保管しておく必要があります。

パスワードを紙に書くということはリスクが高いと思われがちですが、きっちりとルールを決めて管理していれば問題ありません。

(ルールその1) パスワードを書いた紙は手帳や財布といった、人に見せたくない、絶対に無くしたくないもので保管する。
(ルールその2) サービス名と対応する識別文字列だけ書いておく。コアパスワードは記憶するかパスワードを書いた紙を鍵の閉まる金庫や机などで保管しておき持ち出さない。このやり方は煩雑になりやすいため、パスワード管理ツールなどのアプリが許されるのであれば、ツールでの管理を使った方がいい。利用者はツールの認証方法さえ忘れなければ問題ありません。

長い期間パスワードを使い回ししている方は、この機会にIDやパスワードの決め方に自分なりのルールを決めて見直ししてみるのはいかがでしょうか。

関連リンク

◆(英文)スプラッシュデータ社の発表
https://13639-presscdn-0-80-pagely.netdna-ssl.com/wp-content/uploads/2017/12/Top-100-Worst-Passwords-of-2017a.pdf