サービス一覧 » セキュリティ通信
インターネットを安全・快適にお楽しみいただくため、「セキュリティ通信」では、セキュリティ関連の最新ニュースや対策情報などをお届けしています。
メールやWindowsの設定をしたり、特定のWebサイトを利用するときなどに必要となる「パスワード」は、他人の個人情報や重要情報を手に入れようとする輩から身を守るために必要不可欠なもの。簡単には破られない、強固なパスワードを作る方法について説明します。(協力:セキュリティフライデー株式会社)
1. 「強いパスワード」とは?
2. 「弱いパスワード」の例
3. 悪意のハッカーが駆使するツールたち
4. こうすれば最強の設定に
他人に簡単に破られないパスワードが「強いパスワード」と呼ばれています。「長い文字列」や「辞書に載ってないデタラメな文字列」が強いパスワードと考えられがちですが、「長く、デタラメな文字列だから安心」ともいえないのです。
心に留めておきたいのは、「悪意のあるハッカーに見破られないもの(推測されにくいもの)=強いパスワード」が本質であるということ。「長い文字列」や「デタラメな文字列」は、あくまでも二次的な評価であることを踏まえておきましょう。
では、悪意のハッカーはどのようにして他人のパスワードを推測するのでしょう。
一般的には、まず最初に「最弱のパスワード」を洗い出します。それは当たり前のことですが「パスワードなし」の状態です。被害にあったユーザをみると、パスワードを設定していなかったケースが意外に多いのです。もしくは、一部でパスワードを設定しているけど、Windowsを立ち上げる際にいちいち入力するのは面倒、自分以外は誰も利用しないだろうからいいや、といったケースも多いはずです。これが危険のはじまり。オンラインを介してパソコンをのっとられたり、大切な情報を盗まれることにつながりかねません。
次に狙われやすいのが、「IDとパスワードが同じ」場合。誕生日などの「数字のみ」の場合や、辞書に載っているような「名詞や氏名など推測しやすい文字列」も危険です。悪意のハッカーは、こうした「弱い」の設定のユーザを自動で巡回して、パスワードを盗む傾向にあります。「僕の飼っている犬の名前なんて誰も知らないだろう」と思っていても、実際には「弱い」パスワードであることが多々あるのです。
辞書に載っているような言葉に比べれば、デタラメな文字列を用いるほうが「強い」といえますが、この点においても踏まえておきたいことがあります。
悪意のハッカーは、入力フォームに一字ずつ入力していくといったことはせず、それこそ1秒間に数十万もの文字列を「試す」ことができる自動ツールを利用することが一般的になっています。
さらに「aaa」の次は「aab」「aac」といったようにアルファベット順で試してゆくのではなく、「人間がつけやすい」文字から効率よく探るツールも駆使します。たとえば、人間がつけやすい一番最初の文字は「a」ではなく「e」。これは悪意を持つハッカーたちが長い間、膨大なデータを積み重ねた統計で、非常に優秀なものです。
こうしたツールを駆使すれば、どんなデタラメな文字列のパスワードでも「いつかは」解明してしまいます。言い換えれば「強い」パスワードとは、解明するまでに長い時間を要するもの、といえるでしょう。
では、具体的にどのように設定すればよいのでしょうか。
そのひとつは「記号を用いること」です。たとえば america というパスワード。このままですと辞書にも載っていますし、非常に推測されやすいパスワードといえます。これを @meric@ といった具合に「a」を「@」に置き換えただけでも、強度が向上します。 yamamoto という人名も、[yamamoto]といったようにカッコにくくるだけで推測されにくくなります。Windowsのパスワードの場合は、ひとつ記号を入れるだけで約100倍も強度が違ってくる場合もあります。
もう一点、デタラメな文字列をパスワードに設定する際の注意を。 tyuiop@[ というパスワードはどうでしょう。一見すると「強そう」に見えますが、実はこれ、キーボードの「t」からひとつずつ右にキーを叩いていった文字列です。オンライン攻撃には強いかもしれませんが、この場合はパスワード入力を肩越しに他人にみられてしまう「ショルダーハッキング」の標的になりやすいといえます。実際に打ったキーが、そこにいる他人からわかりやすいパスワードも避けたほうが賢明です。
協力:セキュリティフライデー株式会社
執筆:セキュリティ通信編集部