インターネットのサービスで使うパスワード、これを悪用されると、自分が知らないうちに買い物をされたり、悪質な内容を発信されたり、とても危険です。
実は、パスワードを見破る攻撃があり、桁数の短いパスワード、例えば ”英字4桁のパスワードは約3秒” ”英字6桁のパスワードでも約37分” で簡単に見破られるそうです。
(注)この内容、下記の7年前の記事なので、今はもっと短時間に見破られそうですね。
2008年10月2日 今一度、パスワードを点検しましょう! IPA
http://www.ipa.go.jp/security/txt/2008/10outline.html#5
様々なサービスを利用する場合、”IDとパスワード”を入力しますが、通常IDはニックネームやメールアドレスがそのまま ID になっている場合が多く、パスワードが大事になります。
今回は、パスワードをどのように作成したらよいか、また、たくさんのパスワードを管理をどうしたらよいか考えてみたいと思います。
実は、過去のパスワード漏えい事件を見ると、およそ1%の人がパスワードに「123456」を使っていたという、危険な実態も報告されています。こんなパスワードでは、すぐに見破られ、パスワードの意味がありません。
なお、あまり複雑なパスワードにすると大変なので、パスワードを考えるときには次のようにしたらよいです。
”英字の小文字・大文字、数字を混合させ、8桁以上のパスワードを使う”
少し古い記事ですが、2010年3月に情報処理推進機構(IPA)では、下記のようにパスワードを大切に扱うよう注意をうながしています。
2010年3月3日 「 ID とパスワードを適切に管理しましょう 」~ サイフと同じく大切に! ~
http://www.ipa.go.jp/security/txt/2010/03outline.html
”IDとパスワード”は、サイフと同じように大切して、悪用されないよう、しっかり作成し管理しなければならないですね。
■
■ 何故、簡単なパスワードが危険か? パスワード総当たり攻撃とは
■
手当たり次第にパスワードを変化させて見破る「パスワード総当たり攻撃」というのがあります。
これは、パスワード解析ツールなどを使い、考えられるすべてのパターンをリストアップし片っ端から試し、パスワードを解読しようする試みのことです。
使える文字の種類や長さが増えると、組み合わせの数は増大し、見破られる可能性が低くなります。
そのため、パスワードを見破られないようにするためには、パスワードを複雑にする必要があります。
■
■ 良いパスワードとは、パスワードの作り方は?
■
良いパスワードとは見破られにくいパスワードを使うことですね。
なお、パスワードを作るときに、辞書に載っている単語などを使うと、すぐに見破られてしまうので危険ですね。以下を考えてパスワードを作ることが大事です。
(1) 英字の小文字・大文字、数字を混合させ、8桁以上のパスワードを使う
(2) パスワードには辞書に載っている単語を使わない
(3) パスワードには自分の誕生日・名前などの個人情報を使わない
(4) 会員ID(ログイン名)と同じ文字列をパスワードにすることは避ける。
■
■ パスワードの管理
■
パスワード管理には、(1) 紙のメモ、(2) 電子ファイル(パスワード付き) (3) パスワード管理ソフトを利用する 方法があります。
なお、パスワード管理ツールとして、インターネット・サービスを利用する方法がありますが、米の研究チームが、「LastPass」などの代表的なWeb版のパスワード管理ツールにも欠陥があると報告しています。詳しくは、下記のブログを参照下さい。
「LastPass」などのパスワード管理ツールに潜む危険性
http://lifesecurityup.blogspot.com/2014/09/blog-post_19.html
(1) 紙のメモ
IDとパスワードを記載したリストを紙のメモに保持します。IDとパスワードを別々の紙に分けて管理するとより安全です。
(2) 電子ファイル(パスワード付き)
IDとパスワードを記載したデータを「パスワード付きの電子ファイル」として保持します。
(3) パスワード管理ソフトを利用する
暗号化してパスワードを記録する「パスワード管理ソフト」を利用するのもよいです。私は、パスワード管理ソフト"KeePass Portable"を使っていますが、このソフトは人気で定評のあるフリーソフトです。
■
■ お勧めのパスワード管理ソフト「KeePass Portable」
■
USBにインストール可能なパスワード管理ソフトが「KeePass Portable」です。KeePassはオープンソースのパスワード管理ソフトです。
・ID / パスワードを強力に暗号化して保管
(米国標準暗号であるAES(Advanced Encryption Standard)を利用)
・ID、パスワードの組み合わせの管理
・パスワードの自動生成
・ブラウザと連携して、パスワードの自動入力
KeePassは海外製のソフトですが、日本語ランゲージファイルにより日本語で利用することができます。
なお、”KeePass Portable(ポータブル)”はUSBでも持ち運びができるよう専用で作られているため、USBにID・パスワードを安全に保管したり(暗号化されているので万が一紛失しても漏れることはない)、Dropboxなどのクラウドストレージを用いることで、複数のデバイスで利用することも出来ます。
使い方は、”マスターパスワード”を使って、ID・パスワードを保管したデータベースを開き、登録した全てのログイン情報を参照でき、パスワード管理が非常に楽になります。
ログイン情報はカテゴリごとに分けて登録することができ、さらにはログインページのURL やコメント等も一緒に保存しておけるようになっています。
ダウンロードは以下のサイトから実施下さい。
Downloads - KeePass
http://keepass.info/download.html
”Classic Edition”のPortableが良いですね。
使い方は、以下が詳しいです。
KeePass Password Safe のダウンロード・使い方 - フリーソフト100
http://freesoft-100.com/security/keepass-password-safe.html
■
■ 簡単なパスワードは危険
■ ”桁数の短いパスワードは簡単に見破られる、英字4桁のパスワードは約3秒”
■
情報処理推進機構IPAの記事によれば、パスワード解析ツールを使用してパスワード解読時間(見破られる時間)を調べたところ、以下のように簡単に見破られるそうです。
英字4桁のパスワードは、あっという間 約3秒で見破られてしまいます。
2008年10月2日 今一度、パスワードを点検しましょう! IPA
http://www.ipa.go.jp/security/txt/2008/10outline.html#5
桁数の短いパスワードは簡単に見破られる
①英字4桁のパスワードは約3秒
②英字6桁のパスワードは約37分
(1) ”英字(大文字・小文字の区別無)”のパスワード解読時間(見破られる時間)
4桁のパスワード・・・約3秒、 6桁のパスワード・・・約37分
8桁のパスワード・・・約17日、 10桁のパスワード・・・約32年
(2) ”英字(大文字・小文字の区別有)に数字を加えた”のパスワード解読時間
4桁のパスワード・・・約2分、 6桁のパスワード・・・約5日
8桁のパスワード・・・約50年 10桁のパスワード・・・約20万年
なお、上記のIPAの記事に下記の説明があります。
『英字(大文字、小文字区別有)と数字を組み合わせて8桁のパスワードを作成した場合、解読には最大で約50年(すべての組み合わせを試算した場合)かかります。このように、3種類(62文字数)で8桁のパスワードを作成すれば、パスワードの強度は十分と言えるでしょう。』(上記のIPAの記事より)
