読者です 読者をやめる 読者になる 読者になる

インターネット安全活用 一灯塾

最新のIT技術を正確に把握することは困難ですが、地道にコツコツ、IT技術に関する情報を発信します

単純なパスワードを使うと、数秒で見破られ危険な目に!

インターネットのサービスで使うパスワード、これを悪用されると、自分が知らないうちに買い物をされたり、悪質な内容を発信されたり、とても危険です。

 

実は、パスワードを見破る攻撃があり、桁数の短いパスワード、例えば ”英字4桁のパスワードは約3秒” ”英字6桁のパスワードでも約37分” で簡単に見破られるそうです。

 

(注)この内容、下記の7年前の記事なので、今はもっと短時間に見破られそうですね。
    2008年10月2日 今一度、パスワードを点検しましょう! IPA
    http://www.ipa.go.jp/security/txt/2008/10outline.html#5

 

様々なサービスを利用する場合、”IDとパスワード”を入力しますが、通常IDはニックネームやメールアドレスがそのまま ID になっている場合が多く、パスワードが大事になります。

 

今回は、パスワードをどのように作成したらよいか、また、たくさんのパスワードを管理をどうしたらよいか考えてみたいと思います。

実は、過去のパスワード漏えい事件を見ると、およそ1%の人がパスワードに「123456」を使っていたという、危険な実態も報告されています。こんなパスワードでは、すぐに見破られ、パスワードの意味がありません。

 

なお、あまり複雑なパスワードにすると大変なので、パスワードを考えるときには次のようにしたらよいです。

 ”英字の小文字・大文字、数字、記号を混合させ、8桁以上のパスワードを使う”

 

記号は?という場合は、

 ”英字の小文字・大文字、数字を混合させ、8桁以上のパスワードを使う”

でもOKです。

 

 

少し古い記事ですが、2010年3月に情報処理推進機構IPA)では、下記のようにパスワードを大切に扱うよう注意をうながしています。

 

 「 ID とパスワードを適切に管理しましょう 」~ サイフと同じく大切に! ~
 http://www.ipa.go.jp/security/txt/2010/03outline.html

 

”IDとパスワード”は、サイフと同じように大切して、悪用されないよう、しっかり作成し管理しなければならないですね。

 


■ 何故、簡単なパスワードが危険か? パスワード総当たり攻撃とは

 

手当たり次第にパスワードを変化させて見破る「パスワード総当たり攻撃」というのがあります。

これは、パスワード解析ツールなどを使い、考えられるすべてのパターンをリストアップし片っ端から試し、パスワードを解読しようする試みのことです。

使える文字の種類や長さが増えると、組み合わせの数は増大し、見破られる可能性が低くなります。

そのため、パスワードを見破られないようにするためには、パスワードを複雑にする必要があります。

 

 


■ 良いパスワードとは、パスワードの作り方は?

 

良いパスワードとは見破られにくいパスワードを使うことですね。

 

なお、パスワードを作るときに、辞書に載っている単語などを使うと、すぐに見破られてしまうので危険ですね。以下を考えてパスワードを作ることが大事です。

 

 (1) 英字の小文字・大文字、数字、記号を混合させ、8桁以上のパスワードを使う

    記号は?という場合は、

    ”英字の小文字・大文字、数字を混合させ、8桁以上のパスワードを使う”

 

 (2) パスワードには辞書に載っている単語を使わない

 (3) パスワードには自分の誕生日・名前などの個人情報を使わない

 (4) 会員ID(ログイン名)と同じ文字列をパスワードにすることは避ける。

 

 


■ パスワードの管理

 

パスワード管理には、(1) 紙のメモ、(2) 電子ファイル(パスワード付き) (3) パスワード管理ソフトを利用する  方法があります。

なお、パスワード管理ツールとして、インターネット・サービスを利用する方法がありますが、米の研究チームが、「LastPass」などの代表的なWeb版のパスワード管理ツールにも欠陥があると報告しています。詳しくは、下記のブログを参照下さい。


  「LastPass」などのパスワード管理ツールに潜む危険性
  http://lifesecurityup.blogspot.com/2014/09/blog-post_19.html

 

 

(1) 紙のメモ

 

IDとパスワードを記載したリストを紙のメモに保持します。IDとパスワードを別々の紙に分けて管理するとより安全です。

 

(2) 電子ファイル(パスワード付き)

 

IDとパスワードを記載したデータを「パスワード付きの電子ファイル」として保持します。

 

(3) パスワード管理ソフトを利用する

 

暗号化してパスワードを記録する「パスワード管理ソフト」を利用するのもよいです。私は、パスワード管理ソフト"KeePass Portable"を使っていますが、このソフトは人気で定評のあるフリーソフトです。

 


■ お勧めのパスワード管理ソフト「KeePass Portable」

 

USBにインストール可能なパスワード管理ソフトが「KeePass Portable」です。KeePassはオープンソースのパスワード管理ソフトです。

 ・ID / パスワードを強力に暗号化して保管
    (米国標準暗号であるAES(Advanced Encryption Standard)を利用)
    ・ID、パスワードの組み合わせの管理
    ・パスワードの自動生成
    ・ブラウザと連携して、パスワードの自動入力

 

KeePassは海外製のソフトですが、日本語ランゲージファイルにより日本語で利用することができます。

 

な お、”KeePass Portable(ポータブル)”はUSBでも持ち運びができるよう専用で作られているため、USBにID・パスワードを安全に保管したり(暗号化されて いるので万が一紛失しても漏れることはない)、Dropboxなどのクラウドストレージを用いることで、複数のデバイスで利用することも出来ます。

 

使い方は、”マスターパスワード”を使って、ID・パスワードを保管したデータベースを開き、登録した全てのログイン情報を参照でき、パスワード管理が非常に楽になります。

 

ログイン情報はカテゴリごとに分けて登録することができ、さらにはログインページのURL やコメント等も一緒に保存しておけるようになっています。

 

ダウンロードは以下のサイトから実施下さい。

 

 Downloads - KeePass
 http://keepass.info/download.html

 ”Classic Edition”のPortableが良いですね。

使い方は、以下が詳しいです。

 KeePass Password Safe のダウンロード・使い方 - フリーソフト100
 http://freesoft-100.com/security/keepass-password-safe.html

 


■ 簡単なパスワードは危険
■ ”桁数の短いパスワードは簡単に見破られる、英字4桁のパスワードは約3秒”

 

情報処理推進機構IPAの記事によれば、パスワード解析ツールを使用してパスワード解読時間(見破られる時間)を調べたところ、以下のように簡単に見破られるそうです。

英字4桁のパスワードは、あっという間 約3秒で見破られてしまいます。

 今一度、パスワードを点検しましょう! IPA
 http://www.ipa.go.jp/security/txt/2008/10outline.html#5

 

 桁数の短いパスワードは簡単に見破られる

 

   ①英字4桁のパスワードは約3秒

   ②英字6桁のパスワードは約37分

 

  (1) ”英字(大文字・小文字の区別無)”のパスワード解読時間(見破られる時間)

     4桁のパスワード・・・約3秒、  6桁のパスワード・・・約37分

     8桁のパスワード・・・約17日、 10桁のパスワード・・・約32年

 

  (2) ”英字(大文字・小文字の区別有)に数字を加えた”のパスワード解読時間

 

     4桁のパスワード・・・約2分、  6桁のパスワード・・・約5日

     8桁のパスワード・・・約50年  10桁のパスワード・・・約20万年