lastupdate:

パスワード考察

長くて複雑なパスワードより、保存しなくてすむパスワード

パスワードクラックにはブルートフォース攻撃と呼ばれる総当り方式が使われている
PCのスペック向上によって、解析にかかる時間は短くなっていくだろうが
これをウェブサイトのパスワードクラックに使うのは現実的ではない

総当りで外部のウェブサイトにログインを試そうとすると、PCのスペックにかかわらず、
大量のアクセスが必要で、かかる時間が激増する
かつ不審な同一IPによるログイン失敗記録が大量に残るため、サーバー側で対策を採られてしまう

よってウェブサイトのログインIDとパスワードをクラックする方法は、二つに絞られる
本物そっくりのフィッシングサイトを作ってログインさせるか、
もしくはウィルスで、ブラウザのクッキーやパスワード情報のあるファイルを盗みだす方法だろう
この場合、いくら複雑なパスワードを作っても、まるまる相手に渡ってしまうので無駄

ウェブサイトに使うパスワードは、長くて複雑より、
短くて暗記できるパスワードのほうが適している
ファイルやクッキーに保存する必要がないからだ

ウィルス以外の故意の流出にも注意する

パスワードの情報が入ったスマホorUSBメモリを紛失してしまう
ネットカフェでPCを使い、ブラウザでログインした際にクッキーに保存してしまう
などが故意の流出に当たる

特に危険なのが、スマホアプリの楽天市場やyahooショッピング
デフォルトでログインされたままになるので、
他社にスマホが渡れば、パスワードを盗み取らなくても、自由に買い物できてしまう

短いパスワードは実は安全?

もっとも短いパスワードは大手サイトで、おおよそ6文字となっている
普通パスワードは8文字以上推奨だが、毎回入力する手間を考えて、6文字にするのは一理ある

ブルートフォース攻撃ができない以上、短いパスワードが破られやすいわけではない
大事なのは媒体に保存しないこと。
オートログインやクッキーを使わないで
手動入力することを見越して、短いパスワードを使うのもいいだろう

特にスマホの場合は6文字でも手動入力はかなり面倒である
それに加えて、数字とアルファベットが交互に入っているパスワードは
スマホ入力では入力切替が必要で、手間が増大する

悪いパスワードの決め方

盲点ではあるが、長くてランダムなパスワードである
サイト毎にツールでランダムなパスワードを生成するのはもはや逆効果
覚えることが難しく、保存せざるを得ない状況になる

同様にあまりにも複雑なパスワードを要求するサイトもよくない
それより、何回か同一IDのログインに失敗した場合、
セキリティロックがかかるような仕組みのほうが、利用者にとって安全だろう

ブックマークを活用する

ログイン情報を保存しないようにすると、サイトのログイン情報があるか忘れてしまう
その場合、サインインしたサイトのブックマークを必ず作るようにする
ブックマークにサイトがあれば、サインインしてあることがわかるし、
ブックマークの名前の欄にIDとパスワードのヒントを記入できる

狙われやすいサイト

ハッカーに狙われないようなサイトのパスワードを複雑にして無意味である

フィッシングサイトレポートによれば、フィッシングサイトに狙われるのは、オンラインバンクがほとんどで
ポータルサイトやショッピングサイトは少数にとどまっている

これはたとえばyahooやamazonのアカウントをのっとっても、クレジットカード情報は手に入るが
それを使って金を引き出したりはできないからだと思われる
amazonであれば、特定の商品を自分に配達させることが考えられるが、
やる側にとっては逮捕されるリスクが高いため、あまりアカウントハックをしないようだ

ハッカーが狙うのは、半数以上がオンラインバンク
特定の銀行を装い、メールからフィッシングサイトに誘導する手段がポピュラーなようだ
しかしこの方法は、最近オンラインバンクがワンタイムパスワードを導入したため
パスワードを抜き取っても現金を引き落とすことはできなくなっている

意外だが次にフィッシングサイトが作られるのはオンラインゲーム
これは管理や法整備の甘さをついたもので、アカウントをハックして
ユーザー、ゲーム内アイテムを換金する目的がある

共通パスワードを設定する

各サイトで使うパスワードを共通のものにするのはよくないといわれている
当然パスワードが他者の手に渡れば、すべてのログイン情報がわかってしまうことになるからだ

しかしサイト毎に複雑な規則のパスワードを作ると暗記が難しくなる
そしてパスワードを電子媒体に保存してしまうと、流出の恐れがある。
ブラウザのクッキーでも流出のリスクはあがると思って良い。

そこでセキリティの高い個別パスワードと、入力しやすい共通パスワードの二つを使うことを推奨する

ばれても良い共通パスワード

とにかくサインイン、ログインの手間を省くためだけに使う共通パスワード
これはクレジットカードなど重要な情報がなく、漏れても損害がないサイトに使う
セキリティのために、サインイン用パスワードはサイトで制限を設けている場合が多い

  1. 8文字以上
  2. 数字とアルファベット両方使う
  3. 数字は重複しない
  4. 大文字と小文字を両方使う

そこでこれらの条件を満たすパスワードの例をあげる

Taro4132、Hana3241、Poch9678

これらのパスワードの規則性は、先頭4文字のアルファベット+後続4桁の暗証番号でなる
このパスワードのセキリティレベルは中である
ひとつだけなら暗記するのは簡単だし、生年月日や名前を利用しておらず推測できない
こういうパスワードを一つだけ作って暗記しておけば、どんなサイトにも使えるパスワードとなる
重要度の高いサイトに、この共通パスワードは使わないほうが良い

セキリティを重視したパスワード

オンラインショップなど、クレジットカードの情報があるサイトは、
セキリティの高いパスワードを設定しなければならない
これらのサイトはログインされると、即クレジットカードを使って商品の購入が可能となる

サイト運営者の場合、サイトのログインやパスワードも堅牢なものしなければならない
ドメインやサイトをのっとられると聞けば、震え上がるサイト運営者もいるだろう

  1. raku1234
  2. yah00987
  3. g00gle89
  4. k0matuna

使っているサイトの頭文字+数字の組み合わせ
変化を加える場合、アルファベットのoを数字の0にかえる
数字を使っているので、許可される条件を満たしている

考えられるのはyaho0123とかamaz1234とか、ログインするサイトと数字の組み合わせである
多少変化を加えてyah00123、amaz0n12などもある。
これらはセキリティ判定は弱いと思うが、あまり長いパスワードを使うと今度は入力や思い出す手間が激増する

短くわかりやすければ利便性があるが、ばれてしまう可能性があがる
一方長く複雑であれば堅牢性があるが、逆に入力の手間が増加する
そしてそれを補うために、コピーペーストや、ブラウザのログインクッキーを使えば、流出してしまう可能性が増えてしまう。
そのためどちらが良いとは一概には言えない

ともかくアドバイスとしては、あまり使わないようなサイトに、重要な共通パスワードを使わないこと
ばれても問題ない共通パスワードを使う
そしてあまり使わないようなオンラインショップのクレジットカード情報は消しておくこと
確実な自衛手段はそれぐらいだろうか

使ってはならないパスワード

危険だといわれているのは、名前と生年月日の組み合わせである
たとえばken1205などである。次にpassという単語が使われたもの