SNSボタン
記事分割(js記載用)

パスワードの使い回しや安全性を見直そう。セキュリティの専門家がすすめる強いパスワード作りのコツは「パスフレーズ」

パスワード、使い回していませんか?セキュリティの専門家に聞く、パスワードの安全性を高めるコツ

毎日のように利用するSNSやオンラインストア。もはや私たちの生活は、オンラインサービスによって成り立っているといっても過言ではありません。便利になった一方で、管理しなくてはならないIDやパスワードはどんどん増えていくばかり。

昨年Yahoo! JAPANが行った調査によると、約5割の人が6個以上のログインアカウントを持っているそうです。皆さんは一体自分がいくつのパスワードを持っているのか、把握していますか?

SNSのアカウントの乗っ取りや個人情報を盗まれるなど不正アクセスの被害に遭わないために、パスワードをどう管理すれば良いいのか。セキュリティの専門家に話を聞いてみました。

目次

話を聞いた人

ソフトバンク株式会社 法人事業統括 法人プロダクト&事業戦略本部
セキュリティ事業統括部 セキュリティサービス第2部 サービス推進課
セキュリティエバンジェリスト
澤入俊和(さわいり・としかず)

セキュリティ企業でWAF(Web Application Firewall)やネットワークセキュリティ製品のエンジニアを経て、2018年にソフトバンク入社。法人セキュリティ事業のマーケティングプロモーションや営業推進を担当。また、講演などを通したサイバーセキュリティの啓蒙活動にも注力。

危険なパスワードの使い回し。脱・使い回しで流出のリスクを回避

危険なパスワードの使い回し。脱・使い回しで流出のリスクを回避

たくさんのパスワードを使いこなす上でよく陥りがちなのが、パスワードの使い回し。

毎回考えるのが面倒くさいし、覚えられないから、つい同じパスワードを複数のサービスで使ってしまいますよね。

Yahoo! JAPANの調査では、約6割の人がパスワードを使い回している、という結果も。

パスワードの使い回しはやっぱり危険なのでしょうか?

もちろん危険です。
パスワードを使い回していると、もしあるサービスでIDやパスワードを盗まれた際、他のサービスについても芋づる式で不正にログインされてしまう。

芋づる式… というと? 盗んだIDやパスワードが何のサービスで使われているかまでは分からないですよね?

例えば、よくあるフリーメールのIDやパスワードを手に入れたとしたら、そこから他のWebサイトに同じ組み合わせでどんどん当たっていく。IDとパスワードを使い回ししていれば当然ログインできてしまいます。

特に、お金が絡むECサイトや、金融系は狙われやすいですね。

怖いですね……。そもそもIDやパスワードは、どうやって盗まれるのでしょうか。

澤入さん

本当にいろんな攻撃方法があるのですが、その中で共通するキーワードは「脆弱性(ぜいじゃくせい)」。なかなか馴染みがない言葉ですが、つまり本来意図していない動作が起こるシステムの不具合です。

例えば、ゲームなんかで、ちょっとした操作をすると、本来出てこないようなステージに行けたり、というようなバグの話は聞いたことありますよね。

それと同じで、やり方を知っていればシステムに侵入できてしまうような危険な不具合を脆弱性と呼んでいます。そういったところから、システムに侵入されて個人情報が盗まれるケースが多いです。

また、最近ではダークウェブ※1などで、漏えいした情報のリストが売買されているので、実際に攻撃をしなくても情報を簡単に入手できてしまいます。

  • ※1
    違法な情報や物品(ドラッグ、マルウェアなど)が取引されているといわれるサイト。Yahoo!やGoogleなどの検索エンジンにはヒットせず、専用のツールを使用しないとアクセスできない。

自分のパスワードも心配になってきました… もう流出してたりして……。汗

自分のパスワードが流出しているかどうか調べる方法はいくつかあります。

一つは、セキュリティソフト。市販のセキュリティソフトの中には、メールアドレスなどを入力してダークウェブへの個人情報流出がチェックできる機能がついているものがあります。

もう一つは、ブラウザのパスワード管理機能で、使い回しや過去に流出したパスワードの警告を出してくれる機能がありますね。これも基本的な仕組みは、先ほどのセキュリティソフトと同じです。

調べてみて、もし漏えいしているIDやパスワードを今も使っているようなら、すぐに変えた方が良いですね。

はい。基本的にはサービスごとにパスワードを変えるのが望ましいです。

強いパスワード作りのコツは「パスワード」ではなく「パスフレーズ」

強いパスワード作りのコツは「パスワード」ではなく「パスフレーズ」

サービスごとにパスワードを変えることがいいのは分かるのですが、使い回してしまう一番の要因は「覚えられない」というのが大きいと思うのですが。

そうですね。でも、やっぱり「覚えやすい」というのはあまりよくないんです。
覚えやすいということは、つまり推測されやすいということ。パスワードとしてはそもそも覚えにくければ覚えにくい方がいい。

分かってはいても、複雑なものを考えるのがなかなか難しいです。

何の意味もない言葉をベースに作るのは難しいですよね。そういう場合は「パスフレーズ」という考え方でパスワードを長くするのが良いです。

パスフレーズ?

「password」や「12345」など単純すぎるパスワードは危険、というのは常識だと思いますが、そう言いつつ、皆さんだいたいパスワードには言葉、それも結構覚えやすい単語を使っていると思うんです。

単語の場合、いわゆる辞書攻撃という一般的な単語を大量に使ってログインを試みる攻撃方法があって、それで破られてしまうかもしれない。それにどうしてもパスワードが短くなってしまいます。

だからパスワードを単語ではなく、文章にする。
例えば、好きな格言とか、歌詞とか。そういうものをベースに作ると複雑かつ長いパスワードが作れたりします。単語=ワードではなく文章なので「パスフレーズ」ですね。

パスフレーズ

この基本のパスフレーズに、記号や数字を混ぜ、サービスごとに何かユニークなものを足して変えていく、というのがセオリーです。

付け足す文字が覚えやすい単純なパターンだったとしても、使い回しに比べれば、サービスごとに少しでも違うということはとても大事なんです。

ブラウザが安全なパスワードを推奨してくれる場合もありますよね

そうですね。桁数も長いですし安全なものだと思います。サービスに設定できる桁数や記号の有無などの条件が合えば、それを使うのも良いと思います。

安全な作り方はわかったのですが、やっぱり覚えられる気がしません……。おすすめの管理方法はありますか。

SNSなどのアカウントでログインするソーシャルログイン※2を導入しているサービスであれば、それを利用することで、パスワードを何パターンも作る必要はなくなり、管理するパスワードが少なくて済みます。連携するSNSやサービスが信頼できるものであれば、連携した方が便利ですよね。

  • ※2
    LINEやTwitterなどSNSで使用しているID・パスワードで、別のサービスの利用を可能する仕組み。SNSで登録済みの名前・メールアドレスなどの情報を新たに入力する必要がないため手間も省ける。

複数のIDやパスワードを管理できるアプリなどもありますよね。

管理ツールを使うのであれば、信頼のおけるものを使うということ。
そのツール自体からパスワードが漏えいしてしまう可能性もあるので、安全性の高いものを正しく選ぶ必要があります。

パスワードは、定期的に変更したほうがいい、と言われていますが、どのぐらいの頻度で変更するのがいいのでしょう?

以前は定期的なパスワード変更が常識だったんですが、定期的に変えても、ほとんどの人が末尾の01を02にするなど、パターン化した単純なパスワードを使ってしまうなど逆効果なことが多い。

日本国内でも2018年に総務省などが指針を出しているように、今は定期的に変更するよりも、使い回しのない、しっかりした強いパスワードを設定することのほうがいい、という流れになってきています。

そうなんですね。また最近はユーザー登録すると二段階認証※3の設定をすすめてくるサービスが結構ありますが、やはり設定しておいたほうがいいのでしょうか?

二段階認証や、よりセキュリティの高い二要素認証、多要素認証は、ぜひ積極的に活用してください。

多要素認証がパスワード認証と違うのは、「本人確認」という部分。例えばスマホに認証コードが届くものだと、ログインIDやパスワードを知ってる+そのスマホを持ってるという複数の要素を確認するので、パスワードだけの認証より、より「本人である」と言えますから。

パスワードでログインの時代はもうすぐ終わり? より精度の高い本人確認へ

パスワードでログインの時代はもうすぐ終わり?

スマホのロック解除やアプリログインなどは、パスワードのほかに指紋認証や顔認証が使えるケースが増えていますよね。こういった認証が増えると、パスワードは今後どうなっていきますか?

導入コストなども低下してきたので、顔認証がかなり普及してきていますね。身近なところでは、無人コンビニのように、顔認証で入店し決済までできるような取り組みなども始まっていますね。

またすでに、ログインにパスワードを使わないサービスも出てきています。

これまでの多要素認証は、基本がパスワードで、それ以外の認証方法を追加で選ぶ方式だったのが、その組み合わせにパスワードを選ぶ必要がないサービスも出てきています。

パスワードによる認証は、「覚えられないから使い回してしまう」「盗まれる」のリスクが常にあります。パスワードとは違う、より「本人である」ことに重きを置いた顔認証、指紋認証などが普及していき、大きな流れとしてはおそらく将来パスワードはなくなっていくでしょうね。

ありがとうございました。

皆さん、ぜひ参考にしてパスワードの見直しをしてみてください。正しい知識を身につけて、安全にオンラインサービスを利用していきたいですね。

顔認証は日常のさまざまなシーンに広がっているほか、サービス登録時などの本人確認手続きをより便利に行う取り組みも始まっています。

(掲載日:2021年10月19日)
文:ソフトバンクニュース編集部

パスワード以外にも気をつけたい、大切な個人情報を守るセキュリティ対策のポイント

パスワード以外にも、普段の生活でスマホやPCを使うときに気をつけたいセキュリティ対策のポイントをまとめています。ぜひチェックして安全対策を万全にしましょう!

セキュリティのプロが解説。テレワークで情報漏えいを防ぐための5つのポイント