パスワードの強度は大切です!
「日本人のパスワードランキング2020」が発表されました!
今回は「123456」や「password」などの昔から有名なパスワード、推測されやすいパスワードは使わないほうが良いでしょう、というお話をしていきます。
複雑なパスワードでも被害が起きている
ひと昔前ですと、推測されやすいパスワードは使わずに、複雑なパスワードを使いましょうという案内だったかと思います。ところが、複雑なパスワードでも実際に被害が起きています。サーバーがハッキングされパスワードのデータベースが盗まれてしまったという事件です。複数のサービスで共通のパスワードを使い回すと、どこかで漏えいした情報を悪用されてしまう恐れもありキケンです。またパスワードだけでの認証ではこのような事件が後を絶たないため、二要素認証による本人確認が主流になってきています。
そのようなパスワードの経緯を考えますと、きっとパスワード単体の強度と言いましょうか、推測されやすいパスワードでも、複雑なパスワードでも違いがあるのか疑問に感じるのではないでしょうか。
確かに、二要素認証で被害に遭うことがあるなら、たとえば、システムのバグが発見されるなど例外的な話に限定されると思います。ただその場面ではパスワードが重要になってきます。結局は、自分が知っているパスワードと自分が持っているデバイスの2つで本人確認を行うため、そのどちらも大切になります。二要素認証だとルーズにできるということではありません。
それと昔から、家族やパートナーの嫌がらせではないのですが、そのようなITトラブルは珍しくありません。身内ならパスワードがペットの名前と誕生日ということを推測できるでしょうし、二要素認証でもそのデバイスを風呂までは持ち込まないでしょうからそのような悪さができてしまうタイミングは多々あるのではないでしょうか。
もちろん、すべてのサービスが二要素認証に対応しているわけではないですし、サービスが提供されていても申し込みをしていないことがあるでしょう。繰り返しになりますが、パスワードの強度は大切です。
推測されやすいパスワードとは
「パスワードランキング2020」で注目なのは、「jza90surpra」です。トヨタ自動車のスポーツカーのスープラです。昔から、そのような自分の好きな物、好きな選手、ペットの名前、誕生日などをパスワードに使うケースは珍しくありません。もちろん、覚えられるパスワードにしようとすると、好きなものや個人情報に関係したものになってしまうのはわかります。しかし、好きなブロガーのプロフィールや記事を見てパスワードを割り出したみたいなネットストーカーの事件は昔からあり、自分が覚えやすいパスワードは同時に他人から推測されやすいといえるのかもしれません。
いま世の中は、パスワードに文章を入力するようなパスフレーズが浸透してきています。「chocolatetabetaina(チョコレート食べたいな)」みたいな文章ですと文字数が多くなり、パスワードの強度が天文学的なレベルで高くなります。ちなみに、サーバーに保存されているパスワード情報はそのままの情報ではなく、暗号化のような計算結果です。もしサーバーがハッキングされても解析できない限り、パスワードはわかりません。パスフレーズは20文字以上になるでしょうから、その解析は不可能といっても過言ではありません。
ただ、パスフレーズでも推測されやすい文章を使ったなら疑問が残ります。パスワードランキングが裏ビルボードと呼ばれる日はこないと思いますが、歌詞が増えそうな悪い予感がします。たとえば、名言も歌詞と一緒で考える必要がなく、選ぶだけと手軽な上に覚えやすいです。これはjza90surpraと同じですよね。このようなパスフレーズが増えそうな気がしてなりません。
パスワード登録時のチェックをAIが行って厳しくなるのかなど、今後パスワードがどう変化していくのか? 次回のパスワードランキングも楽しみにしたいと思います!
【関連記事】
・流出させない!プロが実践するパスワードの管理術
【関連サイト】
・ホワイトペーパー | 株式会社ソリトンシステムズ サイバーセキュリティチーム
