よく使われる(使わないほうがいい)パスワードは万国共通
NordPassからパスワードの使用に関する年次調査「Top 200 most common passwords」のレポートが発表され、よく使われているパスワード上位200が公開されています。NordPassのWebサイトでは、さらに国や性別でどのようなパスワードがランクインしているのか抽出できるのですが、おおよそは一緒で「123456」や「password」などの昔から有名なパスワードが上位にランクインしています。よく使われる(使わないほうがいい)パスワードは昔から同じで、さらに万国共通のようです。 今回はパスワードの注意点をご紹介しつつ、最近筆者が気になっているMicrosoftアカウントについてもお話をしていきます。
パスワードの注意点
最近は、パスワードの入力に〇回失敗するとアカウントがロックされるようなサービスってほとんど見ないですよね。そのため、推測ができそうな数字の並びや単語、キーボードの配列をパスワードにするのは厳禁だったりします。「Spx-KH9b」のような意味を持たないランダムな英数字、記号の並びのいわゆる複雑なパスワードを使うことが大切です。ところが、複雑なパスワードでも実際に被害が起きています。サーバーがハッキングされパスワードのデータベースが盗まれてしまったという事件です。複数のサービスで共通のパスワードを使い回すと、どこかで漏えいした情報を悪用されてしまう恐れもありキケンです。
「chocolatetabetaina(チョコレート食べたいな)」のような文章、パスフレーズですと、文字数が多くなり、パスワードの強度が天文学的なレベルで高くなります。ちなみに、サーバーに保存されているパスワード情報はそのままの情報ではなく、暗号化のような計算結果となっています。もしサーバーがハッキングされても解析できない限り、パスワードは分かりません。パスフレーズは20文字以上になるでしょうから、その解析は不可能といっても過言ではありません。
分かりやすくまとめるとそのような感じになりますが、まだまだ心配は尽きません。たとえば、パソコンがウイルス感染してパスワードが漏えいしたなんてこともあるかもしれません。パスワードだけでの認証では防げないこともあるため、もし二要素認証による本人確認を行っている場合は利用したほうがいいでしょう。
ひと昔前ですと、「123456」や「password」といった推測されやすいパスワードは使わずに複雑なパスワードを使いましょうという案内だったかと思いますが、いまではパスワードの文字数、使いまわしの回避、二要素認証ということも大切なポイントになります。
最近筆者が気になっているパスワード
仕事をしていて最近筆者が気になっているのが、Microsoftアカウントのパスワードです。Microsoftアカウントは、たとえば、iPhoneならApple ID、AndroidならGoogleアカウントと同じく、クラウドのサービスになりますが、パソコン内だけで使うユーザーアカウントと思われている方が意外と多いなと感じることがあります。もちろん、MicrosoftアカウントはWindows 10から標準のサインイン方法になっていて、MicrosoftアカウントでサインインしていないパソコンはWindows Update後に「デバイスのセットアップを完了しましょう」画面を表示してMicrosoftアカウントでのサインインを促します。既にMicrosoftアカウントでサインインしていれば、パソコン内だけで使うユーザーアカウントと思われていても不思議ではありません。
ここで注意したいことは、Microsoftアカウントはクラウドで使っているアカウントでもあるので、1つで2役ということです。たとえば、パソコン内だけで使うユーザーアカウントでリスクがないなら、サインインのパスワードは「123456」でも問題ありませんし、リスクがないならパスワードを設ける必要もありません。
しかし、Microsoftアカウントはネット上にあるサービスですので、推測ができそうなパスワードを使ってしまいますとどんな被害につながるか計り知れません。Microsoftアカウントをパソコン内だけで使うユーザーアカウントと勘違いしてしまい、それが理由でトラブルが起きてしまうこともありそうなイヤな予感がします。
Windows11 Homeパソコンを購入し、初回起動時のセットアップを行いますと、Microsoftアカウントでのサインインに進みます。多くの方がMicrosoftアカウントでサインインするようになるかと思います。Microsoftアカウントはクラウドのサービスでもありますので、文字数の多いパスフレーズにしたり、複雑なパスワードといった強度の高いものにしてください。
もしパソコンを起動するたびにそれらのパスワードを入れるのは大変で面倒くさい……という場合は、サインインにパスワードではなくPINを設定して使ってください。PINはクラウドでは使いません。サインイン時しか使わないため、自宅で使っているパソコンなどでリスクがないなら「123456」でも問題ありません。
【関連記事】
・2020年日本で漏えいしたパスワードランキング! 推測されやすいパスワードとは?
・パスワードは定期的に変更したほうが良いの?
【関連リンク】
・Top 200 most common passwords