2014年6月22日日曜日

簡単なパスワードは危険!! パスワードの作り方

インターネットで使うパスワード、安易に決めていませんか? 実は、パスワードが英小文字の6桁以下だと1時間以内に見破られるそうです。

最近は、インターネットの様々なサービスを使うことが多いと思いますが、覚えきれないと安易にパスワードを決めていると危険です。

情報処理推進機構(略称 IPA)によれば、パスワード解析ツールを使用して、パスワード解読時間(見破られる時間)を調べたところ、 「英字(大文字・小文字の区別無)」の場合、”4桁で約3秒”、”6桁で約37分”だったそうです。

 今一度、パスワードを点検しましょう! IPA
 http://www.ipa.go.jp/security/txt/2008/10outline.html#5


また、インターネットではパスワードを盗む攻撃も盛んです、パスワードを安易に考えると、危険な目に会いますので、注意下さい。

なお、詳しくは、以下で説明しますが、パスワードの基本は次ですね。

「英字の小文字・大文字、数字、記号を混合させ、8桁以上のパスワードを使い、パスワードを定期的に変更する」


インターネット・サービスを利用する場合、まず最初に、”会員ID+パスワード”を入力します。通常、会員ID(ログイン名)はメールアドレスとか、専用のURLの中で利用されており、すでに公開されている場合が多いですね。

そのため、パスワードを安易に設定していると、”会員ID+パスワード”がすぐに見破られ、自分が使っているサービスを他の誰かに悪用される危険性が増大するということになります。



■ 「 ID とパスワードを適切に管理しましょう 」~ サイフと同じく大切に! ~


実は、過去のパスワード漏えい事件を見ると、およそ1%の人がパスワードに「123456」を使ったり、60%の人が「数字あるいは小文字のみでパスワード作成」していたという、危険な実態も報告されています。

今一度、自分が設定しているパスワードを見直してみることが必要です。情報処理推進機構(IPA)では、下記のようにパスワードを大切に扱うよう注意をうながしています。

 「 ID とパスワードを適切に管理しましょう 」~ サイフと同じく大切に! ~
 http://www.ipa.go.jp/security/txt/2010/03outline.html


IPAでは、このホームページで、パスワードの作り方と使い方について、以下のように説明しています。

■情報処理推進機構(IPA)推奨の”パスワードの作り方”
 (1) 名前や辞書に載っているような単語を避ける
 (2) 8文字以上にする
 (3) 英字(大文字、小文字)・数字・記号などを組み合わせる
 
辞書に載っている単語では、辞書攻撃(辞書にある単語を片端から入力して試すという手法)という方法で簡単に破られてしまう可能性があります。


■情報処理推進機構(IPA)推奨の”パスワードの使いかた”

 (1) 同じパスワードを複数のサービスで使わない
 (2) パスワードは定期的に変更する。
 (3) インターネットカフェなど、不特定多数の人が利用する所ではパスワードを入力しない。

複数のサービスで、同じパスワードを使い回していると、盗まれたときに被害が拡大、パスワードを変更せずにいると、盗まれる危険性が高まります。インターネットカフェなどの不特定多数の人が利用する所では個人情報を盗むウイルスが潜んでいることもあり、危険です。



■ 良いパスワードの作り方と使い方


良いパスワードの作り方・使い方をまとめてみます。

インターネットの各種サービスは、会員ID(ログイン名)とパスワードを使い利用しますが、パスワードは、家の鍵のようなものです。

もしパスワードが簡単なものであれば見破られ、自分が利用しているブログ、SNS、オークション、オンラインバンキング、オンラインゲームなどを悪用される可能性が高まります。


■ 良いパスワードの作り方

(1) 英字の小文字・大文字、数字、記号を混合させ、8桁以上のパスワードを使う

(2) パスワードには辞書に載っている単語を使わない

(3) パスワードには自分の誕生日・名前などの個人情報を使わない

(4) 会員ID(ログイン名)と同じ文字列をパスワードにすることは避ける。


■ パスワードの使い方(運用)

良いパスワードを使うことと同時に、パスワードの管理が必要です。

(1) パスワードを定期的に変更する。

(2) 不特定多数の人が利用する所(インターネットカフェなど)ではパスワードを入力しない。

(3) パスワードを人目に付くような場所(ディスプレイ等)に貼り付けない。

(4) パスワードを初期値のまま使う事は避ける。

(5) パスワードを電子メールなどでやり取りしない。


■ パスワードの管理

(1) 覚えきれる範囲で5~10個のパスワードを用意し、上手に使いまわす。

(2) 流出対策としてパスワードは暗号化して記録する。

(3) ウイルス対策を実施し、ウイルスでのパスワード流出を防ぐ



(1)は意外かも知れませんが、全ての場合に違うパスワードを使うことは現実的に困難です。破られないようなパスワードを何個か準備し、それを上手に使うことが現実的ですね。

(2)の方法として、暗号化してパスワードを記録する、パスワード管理ソフトを利用したらよいと思います。私は、パスワード管理ソフト"ID Manager"を使っていますが、このソフトは昔から定評のあるフリーソフトです。

(3)も大事です、他人に推測されにくいパスワードでも、ウイルスに感染することでパスワードが漏えいします、ウイルス対策、スパイウェア対策をしっかり行うことが必要です。



■ 簡単なパスワードは危険


”桁数の短いパスワードは簡単に見破られる、英字4桁のパスワードは約3秒”

情報処理推進機構(略称 IPA)によれば、パスワード解析ツールを使用して解読時間を調べたところ、以下のようになったそうです。

 今一度、パスワードを点検しましょう! IPA
 http://www.ipa.go.jp/security/txt/2008/10outline.html#5



  (1) ”英字(大文字・小文字の区別無)”のパスワード解読時間(見破られる時間)
     4桁のパスワード・・・約3秒、  6桁のパスワード・・・約37分
     8桁のパスワード・・・約17日、 10桁のパスワード・・・約32年

  (2) ”英字(大文字・小文字の区別有)に数字を加えた”のパスワード解読時間

     4桁のパスワード・・・約2分、  6桁のパスワード・・・約5日
     8桁のパスワード・・・約50年  10桁のパスワード・・・約20万年

このことから、例えば、簡単にいうと以下のようになります。

     ”saku”  というパスワード → 約3秒で見破られる
     ”hanasaku”というパスワード → 約17日で見破られる
     ”Saku0904”というパスワード → 約50年で見破られる

4桁のような短い桁数のパスワードは簡単に見破られ、できるだけ長いパスワードのほうが良いことが分かります。また、大文字・小文字を混合させ、更に数字を付け加えるとよいことになります。

”辞書に載っている言葉をパスワードに使うのは危険”

なお、パスワードクラック (辞書引き攻撃)という手法があり、辞書に載っている言葉をパスワードに使うと、英語の辞書や日本語のローマ字辞書、人名辞書の中からパスワードを探し出すまで、大抵1分以内に見破るそうです。

そのため、辞書に載っている言葉など、一般的に知られている言葉をパスワードに使うのは、非常に危険です。



■ パスワードの危険な実態 :最も多いパスワードは「123456」


少し古い記事になりますが、ウイルス対策ソフトのマカフィーは、2010年12月27日、過去のパスワード漏洩事件で、”最も多いパスワードは「123456」”というパスワードの危険な実態が明らかになったと警告し、Webサービスのパスワードには、できるだけ複雑な文字列を設定するよう改めて呼びかけています。


 最も多いのは「123456」――パスワードの危険な実態:ニュース-PC Online's
 http://pc.nikkeibp.co.jp/article/news/20101227/1029366/


マカフィーの報告では、過去の事例で、安易なパスワードを設定しているユーザーは多いということです。

例えば2009年12月、米国のSNSサイト「RockYou」から、およそ3200万件のパスワードが漏洩し、インターネットで公開されたパスワードを調査したところ、

   最も多かったのは「123456」・・・およそ1%、29万ユーザーがパスワードに利用
   次に多かったのは「12345」 ・・・およそ8万ユーザーが使用
   「123456789」「password」「iloveyou」「princess」といったパスワードも多い
   
という危険な実態だったそうです。それにしても、”100人に1人が「123456」をパスワードに利用”という実態は驚くばかりです。

また、2009年10月、マイクロソフトのWebメールサービス「Hotmail」でパスワードが漏洩した事件では、パスワード1万件以上のうち60%が、数字あるいは小文字のみで構成されていたそうです。

例えば、「111111」「123456」「1234567」「12345678」「123456789」といったパスワードがよく使われ、子供や配偶者などの名前をパスワードにしているユーザーも多かったそうです。


【補足】2013年版「安易なパスワード」のランキングで、「123456」が最悪のパスワードに

下記の情報によると、パスワード管理ソフトメーカー米SplashDataがまとめた2013年版「安易なパスワード」のランキングで、「123456」が最悪のパスワードになったそうです。

なお、このランキングは、盗まれてインターネットに掲載されたパスワードのファイルを分析した結果をまとめたもので、ランキングに登場するようなパスワードをもし使っている場合は、直ちに変更した方がいいと同社は呼び掛けています。 以下のサイトを参照下さい。

「安易なパスワード」ランキングの最新版、首位が交代 - ITmedia ニュース
http://www.itmedia.co.jp/news/articles/1401/21/news045.html


なお、昨年(2013年)の11月発生した、Adobeの情報流出で分かったことは、安易なパスワードを利用していたユーザが多数いたことです。下記の情報によると、1位は「123456」で約190万人、2位は「123456789」で約45万とのこと。こんな簡単なパスワードを利用していると、安々と悪用されますね。

Adobeの情報流出で判明した安易なパスワードの実態、190万人が「123456」使用 - ITmedia エンタープライズ

http://www.itmedia.co.jp/enterprise/articles/1311/06/news040.html