理想のパスワードとは
パスワードを設定するときに意識すべきことは、こちらもすでにパスワードを守ろう!サイトに対する「総当たり攻撃」の現状と対策まとめで紹介済みですが、大きくは次の2点となります。
1. 文字列を長くする
総当たり攻撃への対策として、以前は6文字以上が推奨されていました。ただ、条件次第では数分以内に解読できるといわれていますので、最近ではパスワードは8文字以上というのが通説となっています。
8文字ですら24時間以内に解読できてしまうケースもあるのですが、最近のサイトにはアカウントロック機能が実装されているため、総当たり攻撃対策としては8文字もあれば十分だという考えのようです。なお、アカウントロック機能とは、連続でパスワード認証に失敗したら、一定期間、パスワードの入力をできなくしてしまうという機能になります。もしアカウントロック機能がない場合には、より長い文字列にすべきでしょう。
また、リバースブルートフォースアタック、辞書攻撃、類推攻撃への対策としてはパスワードを長くするだけでなく、ランダムな文字列にすることが望まれます。
2. パスワードは利用サイトごとに使い分ける
パスワードクラックされるのはユーザー側の問題だけに限りません。残念ながら世の中にはウェブサイトが脆弱な作りであったためにパスワードが漏洩してしまうケースもあります。
同じパスワードを使い回していると、パスワードが漏洩した場合にそれを使って他のサイトにも不正にログインされてしまうので、パスワードはサイトごとに使い分けるようにしましょう。
パスワードの定期的な変更は強制されているときだけでよい
一般的には、上記に加えてパスワードの定期的な変更が必要だと言われていますが、最近ではこれに異を唱える意見が増えてきています。事実、パスワードの定期的な変更にはあまり意味がありません。これまでにそれが必要だといわれてきた理由としては以下の2つです。
第一に、パスワードを変更すれば総当たり攻撃は一からやり直しになるため、対策として効果的だというものです。しかし、総当たり攻撃は数時間で完了することもありますので、それを防ぐには数時間おきにパスワードを変更しなければならないことになります。これは現実的な対策とはいえないでしょう。総当たり攻撃への対策としては、パスワードの文字列を長くすることのほうがよほど効果が高いといえます。
第二に、パスワードクラックされてもユーザー自身が気づかないこともあるので、パスワードを定期的に変更していれば被害を最小化できるというものです。しかし、パスワードクラックされた後、個人情報を盗み出すといった不正をおこなうには数分から数時間もあれば十分でしょう。つまり、このケースでも、パスワードを数時間おきに変更しないと効果は期待できないということになります。パスワードクラックされてしまったら為す術はないと考え、そもそもクラックされないように注力すべきです。
パスワードを変更するのは、サイト側からパスワードの定期的な変更が強制されている場合だけでよいでしょう。
まとめ
ここまでの話を整理すると、アカウントロック機能が実装されている前提であれば、パスワードは8文字以上のランダムな文字列が望ましく、定期的な変更は強制されたときのみでよいということになります。
最近ではパスワードの強度が表示されるサイトも増えてきていますが、サイトの仕様やパスワードの注意点をいちいち確認するのは面倒です。今回ご紹介したような情報が、以下のようにパスワード登録画面に掲載されているとわかりやすいかもしれませんね。
- パスワード登録時の留意事項
-
- 当サイトはアカウントロック機能が実装されています。
(5回連続認証に失敗すると30分間ログインができなくなります。) - パスワードの有効期限はありません。定期的な変更は任意です。
- パスワードの文字列は英字大文字、英字小文字、数字をすべて組み合わせる必要があります。
- 文字数の制限はありませんが、8文字以上を推奨します。
- 文字列は推測されにくいランダムなものにされることを推奨します。
- 当サイトはアカウントロック機能が実装されています。
