複雑なパスワードを作ると入力が面倒、パスワードをサービスごとに毎回作り変えると結局忘れてしまう、誰しもが簡単なパスワードやパスワードの使い回しが危険なことは分かっているのに、結局は覚えやすいパスワードを使いまわしてしまう現状…。
今回の動画では、安全なパスワードの作り方や管理について共有させて頂きたいと思います。
<動画内容>
1. パスワードに関する新常識
2. 総当たり攻撃によるパスワード解読時間
3. 強いパスワードの作り方
4. パスワードは何個必要なのか?
詳しくは、下記の動画ご参照ください。(講義動画時間:16分19秒)
あなたのパスワードが破られるのは、たったの1時間かもしれません。
一人当たりのWebサービスの利用数の増加に伴い、ログイン情報も増加しています。
ログイン情報が増えると、雑に扱われがちなのがパスワードです。
複雑なパスワードを作ると入力が面倒、パスワードをサービスごとに毎回作り変えると結局忘れてしまう、誰しもが簡単なパスワードやパスワードの使い回しが危険なことは分かっているのに、結局は覚えやすいパスワードを使いまわしてしまう現状…。
今回の動画では、安全なパスワードの作り方や管理について共有させて頂きたいと思います。
「そろそろパスワードをちゃんとしておきたい」とお考えの方にとっては良い機会なので、ぜひ最後までチェックしてみてください。
スマホのコンシェルジュのYouTubeチャンネルでは、スマホやパソコンの使い方を学べる動画をやさしく丁寧に解説しております。
よろしければ「チャンネル登録」をお願い致します。
それでは早速やっていきましょう。
概要欄に目次も配置しておりますので、適宜チェックしたい箇所を選んでご視聴いただくことも可能です。
【目次】
1.パスワードに関する新常識
2.総当たり攻撃によるパスワード解読時間
3.強いパスワードの作り方
4.パスワードは何個必要なのか?
1. パスワードに関する新常識
内容に入る前に、前提としてお伝えしておきたいのが、セキュリティの観点において、100%安全な方法は存在しないということです。
また今回は、あくまでも「プライベートで使用するパスワード」を想定したお話となっています。
安全なパスワードといえば、皆さんはどんなものを想像しますか?
「桁数が8桁以上」、「定期的に変更」など色々とイメージを持たれるかもしれません。
しかし、”安全な”パスワードの作り方は最近大きく変化しています。
安全なパスワードといえば、皆さんはどんなものを想像しますか?
「桁数が8桁以上」、「定期的に変更」など色々とイメージを持たれるかもしれません。
しかし、”安全な”パスワードの作り方は最近大きく変化しています。
パスワードを盗む、悪用するといった攻撃者の手口も進化し、さらにそれを解析するパソコンの処理性能も非常に高くなってきているので、パスワードの作り方にも進化が必要なのは当然の流れです。
もちろん、様々なセキュリティ団体でも、パスワードのルールについてはここ数年で大幅に改訂されています。
例えば桁数ですが、かつては「8桁以上」とされていました。
この指針は2011年に示されたもので、「パスワードは英数+8桁以上にしてください」といったアナウンスが、ユーザー登録などの場面で要求されることも多く、みなさんもなんとなく8桁以上のパスワードを作成していたのではないでしょうか。
これに対して、現在では「できるだけ長く」「複雑で」「使い回さない」の3点を安全なパスワードのポイントとしており、桁数についての指定は特にありません。
ちなみに『複雑』というのは、英数字・記号を含む、ランダム性の高いといった要素を組み合わせることを意味しています。
文字列を複雑にすることにより、悪意ある攻撃者のパスワード解読時間を引き伸ばしてくれます。
2. 総当たり攻撃によるパスワード解読時間
それでは、パスワードを長く複雑にすることによってどれほどの効果が得られるのでしょうか?
ここではパスワードを破るための攻撃手段としてよく知られている、総当たり攻撃【ブルーとフォース攻撃】を例に、パスワードの安全性を見ていきましょう。
「総当たり攻撃」は、1つずつ順に文字を変えながら文字列を試していく方法で、とても原始的ではありますが、理論上はいつかパスワードの正解に行き当たることができる手口です。
それでは、アメリカのセキュリティ企業ハイブシステムが定例的に公開している、最新の結果を見ていきましょう。
8桁では記号まで入れないと、かなり心もとない結果になっています。
データが2種類存在するのは、入力したパスワードを「デタラメな数値」にして保管しておく仕組みが複数存在するためです。
もちろん、この図は「総当たり攻撃のみを使用」、「複雑なパスワード」、そして「解読に必要な最大時間」という前提条件があるので、実際はもっと早くパスワードを解読されてしまいます。
もう少し攻撃者に有利な状況で試算したデータも公表されています。
使用する文字の種類及び桁数が少ないほど、解読時間も短くなっていることがわかります。
複雑なパスワードでない場合や攻撃者が総当り攻撃の他にも様々な手口を駆使すること、今後も同じパスワードを使っていくと考えた場合には、やはり12桁以上あると一定の安心感が得られるのではないでしょうか。
ちなみに、日本の代表的なセキュリティ機関・団体によると、次のパスワードが推奨されています。
・内閣サイバーセキュリティセンター
10桁以上、英数字+記号の混合
・JPCERT/CC
12桁以上、英数字+記号の混合
8桁といわれていた10年前から変化し、現在は10~12桁+英数字+記号のパスワードがより安全なものとして推奨されています。
■ 解読しにくいパスワードであれば定期的な変更は不要
さらに論点となっているのは、パスワードに定期的な変更が必要か、という問題です。
かつて、不正アクセス対策には、「定期的にパスワードを変更すべき」というのが一般常識でした。
ところが、2017年に発表された新しいガイドラインでは、「サービス提供者はパスワードの定期変更を要求すべきでない」と変更され、総務省でもそのように記載されています。
つまり、パスワードは複雑なものであれば、『定期的に変更する必要がない』ということです。
定期的な変更は、むしろ弊害があり、利用者は複雑なパスワードを作って覚えておくよりも変更しても覚えていられる簡単なパスワードを作りがちになってしまうことや使い回しに繋がってしまう懸念が指摘されています。
3. 強いパスワードの作り方
セキュリティを高めるパスワードの作り方として、
・桁数を増やす
・異なる種類の文字を組み合わせる
・意味のある文言を使わない
以上の3点を守ることが重要です。
ここでは一つの例として、強いパスワードの作り方のルールをご紹介します。
初心者でも簡単に行えるものを例に挙げると、
1. 和暦を活用する
2. 英文字→数字 or 数字→英文字
例えば、平成10年6月生まれの人の場合、「H1006」というようなユーザーに関連する忘れにくい文字列が作成できます。
もちろん、日付で作成しても構いません。
平成10年6月21日生まれ→H1006
ここから、1を英文字のl(エル)に変換したり、0を英文字のO(オー)に変換したりします。
1を英文字のlに変換→Hl006
0を英文字のOに変換→H1O06
こうすると、「誕生日」という自分にとって意味のある忘れにくい文字列が、オリジナルの文字列になりました。
その他にも、画面のようなかたちで英文字と数字を入れ替えながら、オリジナルの文字列になるよう工夫してみましょう。
0↔️O or o
1↔️l
2↔️Z or z
9↔️Q or q
そうすると既に、英文字の大文字+小文字+数字が加わっているので、最後に記号を加えていきます。
これの良いところは、桁数を増やすことなく、要はパスワードの覚えやすさを下げることなく、盗む難易度を上げられる”一石二鳥”の効果を果たしてくれるところです。
記号は、パスワード入力時に表示されるQWERTYキーボードから数字を選択したときに表示される、画面の文字列からピックアップしましょう。
そうすることで、入力の手間も多少軽減されます。
最後に今までのお決まりの文字列を足してあげれば、それなりに強いパスワードが完成します。
お決まりの文字列に、先程の英字と数字の入れ替えなどを行っておけば、より複雑なパスワードにもできます。
その他にも名字+家族人数+それぞれのイニシャルに、英字と数字の入れ替えを組み合わせて作るのもオススメです。
家族構成なども登録するようなWebサイトはほとんど存在しないため、ランダム性を確保できます。
4. パスワードは何個必要なのか?
2022年に、あるセキュリティ企業が実施した国内700名へのアンケートから、87%の人が「少なくとも1つ以上は同じパスワードを使いまわしている」、44%の人が「5個以上のサービスでパスワードを使いまわしている」という結果が出ています。
こう考えると、現代において『パスワードを使い回さないようにしよう』というのが、現実的には少し難しいというのがわかるかと思います。
もちろん、だからといってパスワードの使い回しを是とすることはできませんが、逆にパスワードが覚えきられずに変更を繰り返してしまうと、結局覚えやすいパスワードに帰着してしまうといったデータも示す通り、現実的にはある程度の使いまわしをして、利便性とセキュリティとのバランスを取ることも大切です。
今回はパスワードの使い回しをしていくうえでの、基本的なアプローチをご紹介します。
まずは、パスワードの重要度で切り分けてみます。
理想は3つ~5つくらいです。
1番重要度の高いものとして、スマホ本体に紐付くアカウントを設定します。
基本的には使い回すことなく、そして2段階認証や信頼するデバイスの登録も設定してセキュリティ強度をしっかりと高めておく必要があります。
続いて、銀行・証券会社等のお金の入出金に関連するアカウントです。
こちらは実際のお金の移動や株等の売買が伴い、また入出金や売買が完了すると取消しなども出来ないため、最重要のパスワードです。
一方で、銀行も証券会社も、ワンタイムパスワード等の追加認証システムを持っているので、必ず設定しておきましょう。
3つ目は、決済を伴うサービスのアカウントです。
これらは個人情報が非常に多い点とそこから派生するサービスも多いため、パスワードの管理が重要です。
またショッピングサイトは住所や支払い情報を登録している点など、個人情報が流出した時のダメージが大きくなりやすいのも特徴です。
こちらも、電話番号によるワンタイムパスワード等、2段階認証に対応したサービスも多いので、必ず設定しておきましょう。
4つ目は、主要なSNSのアカウントです。
これらは個人情報が非常に多くある点と友人知人に迷惑がかかる可能性もある点など、不正利用された時の面倒さでいうと、ヘビーユーザーや著名人などは相当なダメージを受けます。
これらのサービスも電話番号によるワンタイムパスワード等、2段階認証に対応したサービスが多いので、必ず設定しておきましょう。
5つ目は、上記以外のサービスのアカウントです。
不正アクセスされても、他と比べるとリスクが限定的なものやそこから派生するサービスが少ないものなど、登録する個人情報量の多寡を踏まえて、適切に分類しましょう。
また万が一に備えて、もう1つパスワードを用意しておくと、いざという時にすぐ対応できます。
先程分類した利用シーン毎に、同一のパスワードを利用する事で、パスワードの数を無闇に増やすことなく運用できます。
また、2段階認証を適宜設定すことで、パスワード以外の認証も混ざるので漏洩のリスクを最小限に抑えてくれます。
さらに、企業側で個人情報の漏洩が起きたときにも、どのサービスでパスワードを変更すればいいのかをすぐに把握できるので、迅速に対応できます。
現代のパスワードは、かつてより多い桁数・文字の種類を組み合わせる複雑さが必要になってきています。
パスワードで守るものの価値が高くなっていること、サイバー犯罪がより巧妙になっていること、また解析するパソコンの処理能力がより高くなっていることなど、現代のデジタル社会に合わせてパスワードも新たに見直す必要があります。
今回の動画はこちらで以上です。
最後までご視聴いただきありがとうございます。
「メンバーシップ」にて動画のテキスト版も配信しておりますので、よろしければご登録ください。
それでは、また次の動画でもよろしくお願いいたします。
「【アカウント】今更聞けない「Apple ID」って何?言葉の意味や確認方法、パスワード忘れの対処法などをおさらい!」もご参照ください。
「今更聞けない!グーグルアカウントとは~Googleアカウントの確認・作成|メールアドレスの作成方法」もご参照ください。
<指導実績>
三越伊勢丹(社員向け)・JTB(大説明会)・東急不動産(グランクレール)・第一生命(お客様向け)・包括支援センター(お客様向け)・ロータリークラブ(お客様向け)・永楽倶楽部(会員様向け)等でセミナー・講義指導を実施。
累計50,000人以上を指導 。
<講義動画作成ポイント>
個別指導・集団講座での指導実績を元に、わかりやすさに重点を置いた動画作成
その他の講義動画は下記の一覧をご参照ください。
<その他>
オンラインサポート(ライブ講座・ZOOM等でのオンライン指導)とオフラインサポート(出張指導・セミナー形式のオフライン指導)も実施中。詳しくはメールにてお問い合わせください。
【全店共通】
03-5324-2664
(受付時間:平日10時~18時)
