今回は、自分が利用しているサイト・サービスからパスワード流出が起きても二次被害を防ぐためのパスワード管理術・作成術をご紹介していきます。
参考:パスワード流出事例
Content
アメリカと日本の機関が推奨するパスワードの作成方法をご紹介していきます。
2017年頃までは、「英小文字・英大文字・数字・記号のすべてを組み合わせた8桁以上のパスワード」というのが推奨例でした。
近年では、このセオリーも大幅に変わってきています。
あくまでも、参考程度にしかなりませんが、これらのサイトでは、「何秒でパスワードが突破されるか」を表示してくれます。
https://howsecureismypassword.net/
https://password.kaspersky.com/jp/
8桁のパスワードは2時間半以内で解読可能
セキュリティ研究者が行った実験では、8桁のパスワードの場合、文字種の組み合わせによる複雑性問わず、2時間半で解析可能とのこと。
参考:8桁パスワードは2時間半以内に突破
上の項目でご紹介したパスワードの強度チェックツールで色々試してみると、12桁あたりから安心なのかな?という印象は受けます。
実際に、サイバーセキュリティの最前線を担う政府機関では、どのような取り組みをしているのでしょうか。
FBI推奨のパスワード作成方法
FBIの推奨するパスワード作成方法から見ていきましょう。
参考:FBI PORTLAND
上記は、アメリカの政府機関である「アメリカ国立標準技術研究所(NIST)」の推奨事項をベースに、FBIが喚起している内容となります。
「アメリカ国立標準技術研究所」って何よ?と思いますが、職員の中からノーベル賞受賞者9人を輩出するようなアメリカでも屈指の天才たちが集う機関で、アメリカのサイバーセキュリティを担う政府機関「国土安全保障省(DHS)」とも連携している機関です。
彼らの推奨事項をまとめると下記のようになります。
- 桁数は、15桁以上
- 文字種は混ぜ合わせなくても良い
(複雑さよりも長さの方が重要) - 複数の関連性のない単語を混ぜ合わせるのが良い
(関連性の無い≒推測されにくい組み合わせ) - 絶対に同じパスワードを使い回さない
- パスワード管理ツールを使うべき
NIST・FBIともに、桁数は15桁以上で、パスワード管理者やサイト名などと全く関係のない単語を組み合わせて行くのが良いとしています。
しかし、そんなことをしていると、当然、管理・記憶するのは到底無理です。
FBI、パスワード管理ツールを推奨
上記、FBIのページでは、パスワード管理ツールにも言及があります。
「パスワード管理ツールを使うデメリットとして、そのパスワード管理ツールにログインする為のIDとパスワードが盗まれた場合、全てのサイトのID・パスワードが盗まれる。」
としながらも、
「登録サイトすべてで、それぞれ固有の長いパスワードを設定することは、パスワード管理ツールの上記のデメリットをも圧倒的に凌駕するメリットがある。」と結んでいます。
つまり、パスワード管理ツールのパスワードを非常に強力なものにし、活用していきましょう。ということですね。
続いて、日本の機関の推奨事項を見ていきましょう!
JPCERT/CC推奨のパスワード作成方法
日本の情報セキュリティの専門機関である「JPCERT/CC」推奨のパスワード作成方法がこちら。
参考:STOP!パスワード使いまわし
先程のFBIの事例とは桁数・文字種に対する考えが少し違いますが、推測されやすい文字列を入れないという点は、共通ですね。
- 12桁以上
- 文字種は混ぜ合わせた方が良いが必須ではない(大小英字・数字・記号)
- 生年月日、キーボード配列順、ログインIDの一部など、推測されやすいものは避ける
- パスワードは使い回さない
【まとめ】安全なパスワード作成術
上記、FBI推奨・JPCERT/CC推奨のパスワード作成方法(桁数・文字種・単語)をまとめると、下記のようになります。
- パスワード使いまわしなんてありえない。絶対NG。
- 複雑さよりも長さが重要(15桁以上)
- 推測されやすい文字列は使わない
(サイト名・ABC・123のような文字列) - 文字種は混ぜ合わせなくても良いが、混ぜ合わせた方が良い。
上記条件を満たすパスワードを各サイトに設定していくと、まず記憶していくのは完全に無理です。
パッと思い浮かぶだけでも、「Google」「Yahoo」「楽天」「Amazon」「Netflix」「Facebook」「Twitter」「LINE」「ANA」「JAL」「hotels.com」「三井住友VISAカード」「JCBカード」「SBI証券」など、普段よく使うサイトが挙げられます。
それぞれ固有の15桁以上のパスワード、かつ推測されにくい文字列の組み合わせとなると、管理が大変。
FBIでも推奨されていましたが、やはりパスワード管理ツールは必須といえます。
パッと思い浮かぶだけで14サイト頭に浮かんだので、たまにしか使わないサイトも含めたら、少なくとも100サイトは超えるでしょう…。
そこで、パスワード管理ツールについても、まとめていきます。
CANONの子会社で「ESET Smart Security」を販売している東証一部上場企業「CANON Marketing Japan」が推奨するパスワード管理ツールをご紹介していきます。
参考:安全なパスワード管理ツールとは?
LastPass
キャノンのサイトで推奨されている、パスワード管理ツール1つ目が「LastPass」。
アメリカの上場企業運営で、サービス開始から10年以上の歴史がある点もポイント。
特徴は、Androidスマホ・iPhone・Windows・Mac・Linuxのすべてで横断的にパスワード管理ができるということ。
例えば、PCで新しいサイトに新規会員登録をした場合、ID・パスワードの入力を検知して、LastPassに「サイト」「ID」「パスワード」が登録可能。
ここで登録したパスワードは、そのPCはもちろん、AndroidスマホやiPhoneにも自動で同期される為、スマホでログインしたい場合も、LastPassが自動入力してくれるという超便利な機能。
覚えておかなくてはならないパスワードは、LastPassのログインパスワードだけです。
もう一つのキャノン推奨パスワード管理ツールをご紹介した後、それぞれの機能比較を行っていきます。
1Password
基本的な機能は、LastPass同様の為、書くことがあまりないのですが、細かなポイントに違いがあります。
家族利用したい場合の割安プランである「複数アカウント」に対応していない点やサイトやアプリの見た目が違う点が大きなポイントでしょう。
使い勝手に関しては、人それぞれの好みがありますので、なんとも言えませんね…。
次の項目で、「LastPass」と「1Password」の機能や料金の違いを解説していきます!