2018/05/29

定期的なパスワード変更は危険なだけ? 「本当に安全なパスワード」の作り方を伝授

朝起きてから夜寝るまで、私たちはいったいいくつの「認証」をスマートフォンで通過しているだろう。指紋や顔などの生体認証、SMSもしくはGoogle Promptを使った二段階認証、点を一筆書きで結ぶパターン認証……。そして「パスワード」の入力である。

スマホのパスワード解除のイメージ

そのパスワードの安全な管理について、2018年3月に総務省が定義を変更したのをご存じだろうか? これまでは「定期的にパスワードを変更する」ことが不正なログインを防ぐための一般常識とされてきたが、総務省は「複雑なパスワードは流出・漏洩がない限り定期的な変更の必要はない」というのだ。

どういうことかというと、短い周期でパスワードの変更を強いると、利用者は解析されやすいパスワードを設定してしまう傾向があり、むしろセキュリティを低下させてしまうことがある。そうした背景から、「むやみに定期変更を強いることはやめよう」というのが、政府が方針を変更した意図と考えられる。そして、定期的に変更する必要がない程度に「複雑なパスワード」を用いることが推奨されるようになったというわけだ。

では、定期的に変更しなくてもいい「複雑なパスワード」とはなにか? そのつくり方は? 今回は、パスワードの最新事情について解説しよう。

無条件にパスワード変更が不要ということではない

パスワードのイメージ

「パスワード変更しなくていいのか。では先日つけた『123456seven』というパスワードはずっと使うことにしよう」

そう考えている人がいるとしたら、それはアウトだ。簡単、法則性のあるパスワードは現代の技術では簡単に解析されてしまう。推測されやすいパスワードを長く使い続けているのでは破られるのを待っているようなもの。変更が不要なパスワードとは、十分複雜なパスワードであることが必要条件となっている。

あなたのパスワードは大丈夫? 危険なパスワード例

セキュリティソリューションの専門会社であるKDDIデジタルセキュリティの担当者によると「設定してはいけないパスワード」として以下のような例を挙げている。

  • ・ユーザー名と同一のもの
  • ・姓名、または姓名の片方(yamada・taro・yamadataroなど)
  • ・ユーザー名に数字を加えたもの(yamada01など)
  • ・製品名や商標名(au、Androidなど)
  • ・名詞(book、pencilなど)
  • ・地名(tokyoなど)
  • ・組織の略語(研究開発室をR&Dと表記するなど)
  • ・規則のある数字や英字(777、abcdeなど)
  • ・キーボードの配列(qwertなど)

まとめると、

【その人物に直接関係のある単語・ことば】
【辞書・辞典に掲載されていそうなもの】
【数字、アルファベット、キーボードなどを活用した規則的なもの】

は危ない、と見ることができそうだ。

では、どんなパスワードが安全なのか? 専門家に聞いてみた

セキュリティのイメージ

設定してはいけない例はわかった。そのうえで自分にとっては使いやすく、他人からは推測されにくいパスワードをどうやってつくるのか? KDDIデジタルセキュリティ社の担当者は次の3つの方法を説明する。

① 自分のなじみのある言葉をローマ字化し、加工する

「自分では決して忘れず、第三者からは類推されにくいフレーズを活用しましょう。ひとつは、自分のなじみのある言葉のなかで、他者に類推されにくいものをローマ字化し、並べて、加工するという方法があります」

一例として住所情報の加工を挙げていただいた。現在の自宅住所では類推されるおそれがあるため、たとえば学生時代のアルバイト先の住所、大昔に住んでいた住所などをローマ字化し、加工してみる。

たとえば「東京都千代田区飯田橋3丁目」だとしたら、「tci3c」と切れのいいところの頭文字だけを取り、更にアルファベットを小文字→大文字の繰り返しにして「tCi3C」としてみる。これだけでは5文字にしかならないため、ほかの情報と組み合わせて長い文字列をつくってみるといいだろう。とはいえ、複数のサービスやサイトでの使いまわしには注意したい。

② パスワードでなく、パスフレーズを

パスワードではなく、パスフレーズを用いることで、人の能力範囲内で記憶でき、かつ十分な桁長のパスワードの設定を行うことができます。パスフレーズとは、パスワードよりも文字数が多い文字列のことで、通常よりも高度なセキュリティが必要な時に使われるものです。本来は64文字以上を使用することが推奨されていますが、現状64文字以上を設定できるシステムはまだ少なく、また文字数として長すぎることから、単なるフレーズではなく、このように部分変換で複雑化することで文字数を減らす工夫もある、ということです。たとえば、『J0hn 1s very 1ntelligent』とすれば、単なるフレーズだけではなく、数字も組み込めて複雑化することができるでしょう」

複雑なパスワードは長い方が破られにくいため、こうした“パスフレーズ”はある程度の長さを確保できるからつくりやすく覚えやすい。厳密にはパスワードの長さは設定するシステムによって決められているが、たとえば8文字から12文字で設定するように指示されているのであれば、複雜な12文字のパスワードにしておくのがもっとも安全だ。

③ スマホの「生体認証」や「多段階認証」機能は積極的に使おう

「さらに、ワンタイムパスワードや多段階認証等の技術を用いることもパスワードの安全性を確保するための方策といえます。生体認証についてもさまざまな方式がありますが、これは複雑パスワードを入力させる手間を簡素化させる手段(いわゆるショートカット)として利用するほうが現実的かもしれません」

指紋認証や顔認証などは、長いパスワードを入力するよりも早い。安全性が確保されるうえ、ショートカットになるので、スマホに搭載されているなら積極的に利用したい。

上手なパスワードの管理方法

たくさんあるパスワードのイメージ

ひと昔前のオフィスでは、ディスプレイの脇にパスワードを書いた付箋紙を貼り付けているようなシーンがよく見られた。

他人にいつでも見られてしまうこういった例が良くないのは感覚的にわかるが、いくら自分になじみのあるフレーズとはいえ、いくつも作成したパスワードがどのサイト用のものなのか、頭で覚えるのにも限界があるだろう。

そうした悩みに答えるため、現在はパスワードを管理するアプリ・サービスが充実してきている。

パソコンのセキュリティソフトを販売している会社などが、サイトごとのアカウント・パスワードを暗号化してクラウドで管理するサービスを行っており、パソコンやスマホで楽にパスワードを入力できるよう操作サポートをしてくれるアプリがリリースされている。

利用者はひとつのマスターとなるパスワードのみ管理すればよく、複数のパスワードをランダムに作成しそれぞれ管理できるため、前述した類推されやすいパスワードではなくなるメリットがある。

こうしたサービス・アプリを活用することで、数が増えたパスワードを適切に管理できる。では、どのようなサービスを選べばいいのかを聞いてみた。

「せっかく管理アプリ・サービスによってパスワードを管理しても、スマホやPCの故障などによってデータが滅失しては一大事。管理アプリは信頼のおける製品を選ぶ事が重要です。ただしインターネットサイトに登録されている無料のソフトウェア等は、安全性について保証されません。最低でもセキュリティ会社が発売しており、購入後のサポートがしっかりしている製品を選んでください」

とのこと。ただ、こうした管理アプリよりも、どうしても「紙に書いて保管したい」派の人のために、アナログで保管する場合の注意点についても聞いてみた。

「アナログの方法として紙に記載して保管しておくという手段がありますが、記載された情報が万が一漏えいした場合でも被害を拡大させない対策が必要です。たとえば、『間に関係のない文字を挿入する』『自分だけが回答できる文字列を別の表現で置き換えて記載しておく(たとえば、母親の出身地+いちばん好きな食べ物の名前、プロポーズの言葉など)』とし、パスワードそのものの記載を避けることです」

【紙に記載して保管しておく場合の記載例】

  • ・パスワードが「o9bhkY0oHK」の場合、紙には「o9bhkmarimoY0oHK」と関係ない文字列をあいだに挿入してメモ。
  • ・パスワードが「Hamamatsu-city-C0ppe-pan(浜松市、コッペパン)」の場合、紙には「母親の出身地+いちばん好きな食べ物の名前」とメモ。
  • ・パスワードが「n0k0r1n0j1nse1-b0kun1kudasa1(残りの人生、僕にください)」の場合、紙には「プロポーズの言葉」とメモ。

情報資産を守る時代のパスワード管理

しっかりロックされたパスワードのイメージ

今や情報は金銭や宝石・証券などと同じように管理すべき大切な資産。管理するべきパスワードが増える現在、手法や安全なパスワードの基準を知るだけではなく、管理面までおさえて上手に活用したい。

文:奥野大児
取材協力:KDDIデジタルセキュリティ株式会社