良くないパスワードを使い続ける習慣、やめられない人が多いですね。インターネットが普及しはじめたその昔、ロックアウト(ログインできなくなる)されないようにと、覚えやすいパスワードをすべてのサイトで使いまわすのは普通でした。
データ流出がこれほど騒がれ、パスワード管理アプリがこれだけ普及しても、安全なパスワードの習慣を実践できていない人が大半であることを最近のデータが示唆しています。
ありがちで危険なパスワードたち
より好ましいパスワードの使い方について言えることはたくさんありますが、ここではまずNordVPNが発表した興味深い新データに注目してみましょう。
2022年にもっとも使われたパスワードを同社が調査したところ、その結果はひどいものでした。
突出して使われていたのは「password」で500万件近く、「123456」は150万件とのこと(なお、このパスワードの末尾に「789」を付けると、Nord社の一覧で3番目に多く使われているパスワードになりました…)。
頻出パスワード200の一覧には、「guest」、「qwerty」など、さまざまなものがありました。そうでなくても、普通の単語と数字を組み合わせたものも多く使用されています。
この一覧にあるパスワードを使用している場合は、早急に変更しましょう。
しかし、それだけでなく、まずはより強固なパスワードを使うようにしてください(パスワード管理アプリも使いましょう!)。
数分で解読されてしまうパスワード
これに関しては、コラム「Time to crack it」(解読にかかる時間)の内容に説得力がありましたのでご紹介します。
この記事には、よく使われているパスワードのアカウントに、悪意を持った者が侵入するのにかかる時間の目安が書かれていました。どれくらいかかるかは、パスワードの一意性によって異なります。
Nord社によると、たとえば「9136668099」なら、およそ4日で解読できてしまうそうです。これは、数字の長さとランダム性によるとのこと。
ところが、一覧に記載されているパスワードは、ほとんどいずれも数時間、数分、あるいは数秒で解読可能だそうです。「password」というパスワードを使っているアカウントなら、瞬時に解読されると思ってください。
ダークウェブにデータ流出されたパスワードも同様であり、パスワードを使いまわしてはいけないと言われるのはこのためなのです。
パスワードが推測しやすかったり、ネット上に公開されてしまった場合、ハッカーは思いつく限りのあらゆるアカウントに対してそのパスワードを試してきます。
インスタと銀行の両方で同じパスワードを使っていて、インスタの方がデータ流出した場合、銀行口座の方はもう安全とは言えません。
個人情報を使用しない
パスワードそのものよりも、さらに興味深いのは、どうやってそのパスワードを考えつくかです。裕福な企業の従業員の間では、社名やそれに関する単語をパスワードに用いる傾向にあることが、Nord社により明らかになりました。
そんなパスワードだと、仕事のメールなどに毎朝ログインする時に便利なのはたしかですが、ハッカーにとっても好都合。これがよく使われるパスワードだとハッカーも熟知しているので、まず最初に社名や仕事に関連するパスワードを試してみるからです。
皆さんが自分のアカウントに使ったパスワードを思い浮かべてみてください。好きなスポーツチームやペットの名前、出身地など、自分に特化した事柄を選んでしまってはいませんか?
興味・関心ごとなど、あなたに関する情報がSNSで見つかったら、その単語を普通に組み合わせたパスワードでアカウントのハッキングを試みることができてしまいます。
こういった脆弱性があるため、「R3dSoxf@n」(レッドソックスのファン)、「Fid0th3dog」(犬のファイド)、「N3WY0rk100」(ニューヨーク100)などは、よくないパスワードの代表例なのです。
安全なパスワードとは?
パスワードの作成には、自分にとって意味のあるものを選んではいけません。
それどころか、人が読んで意味がわかるものはNGなのです。パスワードは、難解かつランダムであればあるほど、コンピューターでの解読も困難になり、ましてや人間が推測するのはおそらく不可能になります。
しかし、だからといって、新しいパスワードをつくるたびにキーボードを叩きまくる必要はありません。強固でユニークなパスワードをつくるための効果的な方法の1つは、まったくランダムな単語を複数つなげることです。
これに関してxkcdコミックによる解説があり、少し古いものですが今でも通用するので、こちらを見てみましょう。
漫画家のランドール・マンローは、一見安全そうな(人間なら決して推測できない)「Tr0ub4dor&3」というパスワードが、実はコンピューターなら比較的容易に解読してしまうことを実証してみせました。
しかも、このパスワードを覚えるのは大変です。単語を4つランダムに並べたパスワードは、コンピューターにも人間にも推測されにくいものの、人間が覚えるのはさほど難しくありません。
文字をいくつか特殊文字に入れ替え、アンダーバーを1~2つも加えれば、強固なパスワードのできあがりです。
パスワードアプリを導入しよう
覚えやすくて、強固で一意なパスワードのつくり方については、こちらのガイドを参照してください。ただ、実際のところ、強固で一意なパスワードは1つだけ覚えておけばよく、それ以外はパスワード管理アプリに保存しておくのが正解なのです。
そうすれば、覚えやすいパスワードにしようと考えることもなくなります。アプリが覚えてくれているので、自分が記憶しておく必要がなくなるのです。さらにアプリでは、新規のパスワードも考えてくれます。
PC Magazine 2023年のおすすめをご覧ください。以下にトップ5をご紹介します。
優れたパスワードでも安全とは限らない
そもそも、パスワード自体が過大評価されていると言えるでしょう。
サイトが2段階認証に対応している場合は、2段階認証とパスワードの両方を設定してみてください。これも、できればテキストメッセージではなく、認証アプリを用いるのが望ましいです。
2段階認証を設定してあれば、万が一パスワードが漏洩してしまっても、ハッカーがアカウントに侵入することはできません。ハッキングするには、信頼されたデバイスに表示されるコードも必要なためです。
そして、AppleやGoogleなどのハイテク企業の思惑どおりにいけば、近い将来、これらパスワードのシステムは、パスキーに取って代わられることも十分考えられます。
「パスキー」とは、パスワードと2段階認証を組み合わせて、1つの安全なシステムにするもののこと。
パスワードを設定するのではなく、手持ちの2つ目のデバイスがパスワード代わりになるのです。このデバイスには、安全なパスキーが保存され、本人のみがそれにアクセスできます。本人が正しく認証されれば、デバイスにアクセスが可能になるのです。
これは、認証の簡素化、ひいてはセキュリティの強化につながるすばらしいコンセプトと言えます。
ただ、「password」などというパスワードを何にでも使ってしまっている人が大勢いる現状では、このコンセプトの実現はまだ遠い将来のことになりそうです…。
Source: NordPass, xkcd, PCmag, Bitwarden, DASHLANE, Zoho, 1Password, Keeper Security
