目次

  1. パスワードとは
  2. セキュリティを高めるべき理由
  3. 日本でよく使われているパスワードとは
  4. セキュリティが強いパスワードの作り方
  5. セキュリティをさらに高める「多要素認証」

 総務省の公式サイト「国民のための情報セキュリティサイト」によると、インターネットでは、あるサービスを許可された者であるかを識別し、本人を確認するためによく使われているのが、IDとパスワードです。

 IDは、一人ひとりの利用者を区別して割り振る符号です。パスワードとは、そのIDを割り振られた本人だけが知る情報で、IDを持つ本人であることを確認するための符号です。

 IDとパスワードを使うことで、ネット上のサービスは、権限のない第三者の利用を防ごうとしています。しかし、IDやパスワードが漏れると、なりすましなどの不正行為を許してしまいます。

 たとえば、SNSアカウントなら意図せぬ情報を拡散するのに悪用されてしまいます。さらに、社内で利用している業務用のサービスに侵入されてしまうと、顧客や取引先の情報が盗まれてしまうリスクも考えられます。

 パスワード管理ツール「NordPass」を提供する「Nord Security」は世界50カ国でもっともよく使われているパスワードTOP200を紹介しました。

 日本では、数字の羅列やpassword、memberなどの英単語、キーボードを順番に打ち込んだ「asdfghjk」などが多く見られ、1秒以内に破られるパスワードが大半でした。ほかにも日本でよく使われている言葉として「sakura」「doraemon」「nekoneko」がありました。

 TOP50を抜粋します。()内は破るまでにかかった時間です。

password(1秒未満)
123456(1秒未満)
123456789(1秒未満)
12345678(1秒未満)
1qaz2wsx(1秒未満)
member(2分)
asdfghjk(1秒未満)
12345(1秒未満)
password1(1秒未満)
1234567890(1秒未満)
asdfghjkl(1秒未満)
asdf1234(1秒未満)
qwertyuiop(1秒未満)
qwerty(1秒未満)
sakura(1秒未満)
1q2w3e4r(1秒未満)
qwer1234(1秒未満)
abcd1234(1秒未満)
zaq12wsx(1秒未満)
qwertyui(1秒未満)
takahiro(3時間)
1234567(1秒未満)
987654321(1秒未満)
zxcvbnm(1秒未満)
fujitvpass(3時間)
baseball(1秒未満)
1234qwer(1秒未満)
doraemon(3時間)
12341234(1秒未満)
qazwsxedc(1秒未満)
masahiro(3時間)
qazwsx(1秒未満)
1qazxsw2(1秒未満)
himawari(3時間)
nekoneko(2分)
hiroyuki(3時間)
kuroneko(3時間)
lovelove(1秒未満)
abc123(1秒未満)
iloveyou(1秒未満)
112233(1秒未満)
asdfasdf(1秒未満)
takayuki(3時間)
11223344(1秒未満)
88888888(1秒未満)
nikoniko(2分)
yamamoto(3時間)
yuantuo(17分)
nakamura(3時間)
isme(1秒)

 パスワード解読には、1つずつ文字を変えながら試していく総当たり攻撃(ブルートフォースアタック)などが知られています。そのほか、意味のある言葉から解読しようとする「辞書攻撃」もあります。こうした攻撃への対応を考えることで、セキュリティ上強いパスワードをつくることができます。いくつか対策例を紹介します。

  • 総当たり攻撃対策に備えてなるべく文字数を増やす
  • アルファベット文字列の一部を記号に置きかえ、数字をいくつか挟み込む
  • 単語の途中の一部を大文字にする
  • Chromeなどパスワード生成ツールの機能でランダムなパスワードをつくる

 攻撃の手口はネット上だけではありません。パソコンの周りにパスワードを書いた紙を貼っておくことも避けましょう。

 セキュリティ強化の方法論として、SNSなどを中心に、二段階認証を導入するサービスが増えています。たとえば、IDとパスワードを入力後、さらにスマホなどに届く認証コードを入力するといった形で使われています。

 このほかにも指紋、目の虹彩などを使った「生体認証」など様々な本人認証の仕組みがあります。ただし、いずれも完全に第三者のなりすましを防げるわけではありません。そのため、常に情報漏洩のリスクがゼロでないことを意識した多重対策が必要です。