こんにちは。外部ライターのミノル・スアレスです。
皆さんはいくつくらいパスワードをお持ちですか?
少し古いデータですが、2012年にトレンドマイクロが実施した調査によると一人当たり14個ものパスワードを管理しているとのことです。今ではもっと多くなっているかもしれませんね。
管理すべきパスワードがこれだけ増えると、
「何をパスワードにすればいいのかわからない」
「覚えやすいように単純なパスワードにしようとしたら、登録できなかった」
「パスワードを忘れ、リセットすることになってしまった」
「定期的に変更しろというメッセージが出てきてうっとうしい」
など、誰もが一度はストレスを感じたことがあるのではないでしょうか。そこで今回は、安全で効率的なパスワードの管理方法をご紹介したいと思います。
避けるべきパスワードとは
世の中には様々な方法でパスワードクラック(パスワードを解読すること)しようとしている攻撃者がいます。以前、LIGブログでもパスワードを守ろう!サイトに対する「総当たり攻撃」の現状と対策まとめという記事で、以下の攻撃手法が紹介されていました。
- 総当たり攻撃(ブルートフォースアタック)
パスワードとして想定されるすべての文字列を順に入力していく攻撃 - パスワードリスト攻撃
不正に入手したユーザーID・パスワードを使って他のサイトへのログインを試みる攻撃 - リバースブルートフォースアタック
後述するような単純なパスワードに狙いを絞り、ユーザーIDとして想定されるすべての文字列を順に入力していく攻撃
他にも、パスワードクラックの方法として、以下のようなものが存在します。
- 辞書攻撃(ディクショナリーアタック)
辞書に載っているようなよくあるキーワードを入力していく攻撃 - 類推攻撃
名前や誕生日など個人にまつわる情報からパスワードを推測する攻撃
このうち、リバースブルートフォースアタックや辞書攻撃、類推攻撃の餌食となるのは、いずれも単純なパスワードを設定している場合です。SplashDataが発表した2014年のワーストパスワードのTop10は以下のようになっています。
1位:123456
2位:password
3位:12345
4位:12345678
5位:qwerty
6位:123456789
7位:1234
8位:baseball
9位:dragon
10位:football
※ 5位の “qwerty” は現在のキーボード配列のことで、 “q” から右へ順番に入力していっただけのものになります
面倒だからといってこのようなパスワードを設定している方は、今この瞬間にもアカウントが誰かに不正利用されているかもしれません。このような攻撃から身を守るために、私たちはどのようなパスワードを設定すべきなのでしょうか。
