情報環境コミュニケーションズ

埼玉県さいたま市で士業を中心にIT関連全般のサポートを行っています。

破ることが困難で、覚えておけるパスワードを作成/管理し、安心してクラウドを利用できるようにしたい

破ることが困難で、覚えておけるパスワードを作成/管理し、安心してクラウドを利用できるようにしたい

KeyRing

クラウド・ワークは、いつでもどこでも同じ環境で仕事ができてとても便利なものですが、パスワードを破られ、成りすましやアカウントの乗っ取りに遭うのではないかという不安がつきまといます。

インターネット上でのサービスにおいて、アカウントが乗っ取られたり、成りすましなどの被害について、報道で大きく取り上げられるようになっており、事あるごとに、「パスワードは複雑なものに、サービスごとにパスワードを変える」事が呼びかけられています。

対応策としては、「ワンタイム・パスワード」、「二段階認証」、「ハードウェア・キー」などによりセキュリティをより強固なものとする方法がありますが、これらについては論を改めるとして、それ以前の対策として、簡単には破られないパスワードにするにはどうしたらいいのか?ということについて考えてみたいと思います。

<スポンサードリンク>

■パスワードが破られる背景

IDとパスワードによって本人を特定する方式は、コンピュータを複数のユーザで共有しはじめて以来40年以上前から変わらない方式です。
現在では、パソコン、スマートフォン、タブレットが一般に普及する中で、破られやすいパスワードを用いるユーザが増えることで、悪意のある者が操作するハッキングツールにとっては、不正ログインの成功の確立が高まってしまっています。

ネット上には「パスワードリスト攻撃」用のツールが存在しており簡単に入手できます。(もちろん、これにより他者のサーバ、PCを攻撃する行為は犯罪となります。)同時にパスワードとして持ちられる「辞書」ファイルも出回っています。

hydra

悪意を持った者は、これらのツールで「パスワード辞書」を読み込んで、自動的にIDとパスワードを連続入力してログインを試みます。
ここでログインに成功すると、他の不正アクセスにも悪用され、クレジットカード情報などを入手されると、直接的な金銭的被害にも及んでしまう事にもなりかねません。
このような「パスワードリスト攻撃」による被害が生まれる背景としては、「同じパスワードを様々なインターネットサービスで使い回す利用者が多い」点が大きな要因となっています。

Google, Twitter, Facebook, OneDrive, Office365, Dropbox, iCloud, Evernote, Pocket、そしてAmazon, 楽天などのオンライン・ショッピング、オンライン・バンクなど、数多くのサービスをインターネット上で利用するにあたって、実際に、どのようなパスワードにして、どのようにサービスごとにパスワードを変えればいいのかは難しい問題です。

■ちゃんと覚えられて、なおかつ破られにくいパスワードについて考えてみる

米国における調査結果なのではありますが、2012年に最も脆弱で破られやすいパスワードは、「password」、2013年は「123456」だったそうで、毎年ワースト上位のリストに入っているものとして「iloveyou」、「letmein」などがあり、上述のツールを用いれば、簡単にアカウントを乗っ取られてしまいます。

悪意を持つ者が使う「パスワードを破ろうとするツール」が類推できないようにすることが、一つの鍵となりそうです。
基本としては、大文字、小文字、数字、特殊文字を組み合わせること。
文字として使えるのは英文字となりますが、敢えて日本語をローマ字で綴るのも一つの方法かと。
パスワードリスト攻撃は海外からのものが多く、英単語を用いないことも一つの防御策となりそうです。

例えば、仕事や私生活上での、その時々の目標をパスワードとして設定する方法です。

Ato2OKUnouriage~rieki1K¥ (あと2億売上、利益1,000万円)
ShinkiAnken/5kenKakutoku!! (新規案件5件獲得)
KongetsuChuuni-2KGyaseru! (今月中に4kg痩せる)
2GatsuMadeni>300kmHashiru!!! (2月までに300km走る!!!)

このように、現状の目標をパスワードとして設定することで、記憶も容易で、攻撃ツールにとっては予測が難しく、推奨されている大文字、小文字、数字、特殊文字を含んだ「複雑なパスワード」となることでしょう。

米国のセキュリティ会社であるGibson Research社が公開しているパスワードの強度を診断するツールで診断してみます。

https://www.grc.com/haystack.htm

Gibson_Research

上記の「ShinkiAnken/5kenKakutoku!! 」というパスワードにしてみた場合、「ブルートフォース」というパスワードを破る試みの攻撃を受けた場合、毎秒100兆回というとてつもない実行速度の計算機を用いても、このパスワードを破るためには「80.45×100万×1兆×1兆世紀」という途方もない日数を要する結果となります。

これだけでもかなり強固なパスワードとすることができるわけです。

■サイト毎にパスワードを変えるには

一つの例としては、基本パスワードに、「サービス名」と一定の数字を加える方法です。
「ShinkiAnken/5kenKakutoku!! 」に、Googleであれば「GGL」、そして配偶者や恋人の年齢や生まれ年などの数字を加える方法です。

「ShinkiAnken/5kenKakutoku!! GGL;28」
「ShinkiAnken/5kenKakutoku!! AMZN;28」(例:アマゾンの場合)

■可能な限り、独自のIDを設定

インターネットサービス、特に金融機関系、オンラインショッピングの多くが、独自のIDを作成することができるようになっています。
前述の通り、インターネットサービスの多くがIDとパスワードの組み合わせでログインできるようになっていますが、重要なサービスにおいてはIDも独自のものにすることでセキュリティ・レベルは向上します。

■パスワードを忘れないようにメモをしておくには?

上記のようなパスワードの設定、ルール決めを行うことで、パスワードを忘れないようにしながら複雑なものとすることができるわけですが、万一うまくログインできない時のために、どのように備えればいいでしょうか?

よく手帳にIDとパスワードを記帳している方、さらには付箋をモニター周りに貼っている方がいますが、それは危険極まりない事です。

ネットの記事に書かれていることが多い、MS Exelなどにパスワード一覧を作成しパソコン内に保存しておき、そのファイル自体にパスワードをかけておく、という方法が実用的なのではないかと思います。

<スポンサードリンク>

« »