【それ危険!】あなたは大丈夫?パスワード管理方法

それ危険!!あなたは大丈夫?パスワード管理法

いくつものパスワードを覚えるのはもう限界・・・

気づけば実店舗よりネット店舗でのお買い物が増えた。そんな方も多いのではないでしょうか。

ネットショッピングを始め、色々なサービスを利用するにはIDやパスワードが必要ですが、Webサイト毎に覚えるのは難しいのでついつい、同じパスワードを使いまわしたり、パスワードを書いた付箋をPCに貼ったりしてしまいがちです。

もし、パスワードが一つでも流出してしまったら・・・誰かに付箋を見られたら・・・あなたの大切な個人情報や、クレジットカード情報なども一緒に流出してしまう危険があるのです。大事なパスワード、しっかり管理していきましょう。

この記事は以下の疑問をお持ちの方におすすめです。

  • 安全なパスワードを知りたい
  • 安全なパスワードの管理方法を知りたい
  • 楽なパスワードの管理方法を知りたい

こんなパスワードはホントに危ない!

パスワードセキュリティのサービスを提供するSplashData(https://splashdata.com/about/index.htm)が2019年12月に「最も酷いパスワードベスト50」の2019年度版を発表しました。インターネット上に流出しているパスワード500万件を解析し、その中でもっとも使われていたパスワードのランキングをまとめています。以下は、その1位から20位までのパスワードのリストです。

1位~10位

  • 1 - 123456(2018年から不動)
  • 2 - 123456789(1ランクアップ)
  • 3 - qwerty(6ランクアップ)
  • 4 - password(2ランクダウン)
  • 5 - 1234567(2ランクアップ)
  • 6 - 12345678 (2ランクダウン)
  • 7 - 12345(2ランクダウン)
  • 8 - iloveyou(2ランクアップ)
  • 9 - 111111(3ランクダウン)
  • 10 - 123123(7ランクアップ)

11位~20位

  • 11 - abc123(4ランクアップ)
  • 12 - qwerty123 (13ランクアップ)
  • 13 - 1q2w3e4r(新)
  • 14 - admin(2ランクダウン)
  • 15 - qwertyuiop (新)
  • 16 - 654321(3ランクアップ)
  • 17 - 555555(新)
  • 18 - lovely(新)
  • 19 - 7777777(新)
  • 20 - welcome(7ランクダウン)

出典:SplashData
https://www.prweb.com/releases/what_do_password_and_president_trump_have_in_common_both_lost_ranking_on_splashdatas_annual_worst_passwords_list/prweb16794349.htm

1位は安定の「123456」、2018年度も1位に輝いています。3位の「qwerty」は一見複雑そうですが、キーボードを見れば一目瞭然、横並びの配列になっており、容易に推測できてしまいます。「1q2w3e4r」も工夫が見られますがキーボードの配列が若干複雑になっただけで、結局漏洩パスワードのトップ20位入りしているので全く有効とはいえません。

というのも、ハッカーが使うパスワード攻撃のリストにはこのような、世の中で多くの人が使いがちな簡単なパスワードが1000件も2000件も入っているからなのです。攻撃ツールで1000件のパスワードを試すのにかかる時間はわずか十数秒。プログラムで実行するので、何の苦労もなくアカウントを乗っ取ることができます。

危険なパスワードは「123456」

もし20位までに入るようなパスワードを使っている方がいたら、ぜひこの記事を最後まで読んで安全なパスワード設定について考えてみて頂けたらと思います。

パスワードが漏洩すると起こる脅威

Webサービスのアカウント乗っ取り、金融関連サイト、クレジットカード不正利用、パスワードが漏洩してしまうと被害は甚大です。もしネットバンキングのパスワードが漏洩してしまったら、リアルな「お金」の被害となり、お金が返ってくるかわかりません。

  • クレジットカードの不正利用
  • ネット銀行の不正利用で残高が0円に
  • ショッピングサイトでの不正利用により高額な請求が発生

【注】クレジットカードなど、推測されやすいパスワードを設定していると保険でカバーされない場合があります。

このような事態を避けるためには日ごろから安全性の高いパスワード設定と管理が必要です。

「安全なパスワード」ってどんなもの?

危険なパスワードは分かったけれども、安全なパスワードはどうやって作ればいいのでしょうか?
8桁以上、英数字、大文字小文字をミックス、記号を必ず1つ以上入れて… などインストラクションがありますが、そんなもの考えたくもないですよね。

でも、それにはちゃんと理由があるのです。 もし攻撃者がパスワードの総当たり攻撃(ブルートフォース)で全部の文字の組み合わせ順列を試したとします。93文字、10桁の場合は解読にかかる時間は何万年もいわれています。

パスワードの桁数と解読時間例

出典:https://www.ipa.go.jp/security/txt/2008/10outline.html
※出典は2008年のデータであり近年のパソコンの性能と差異があるため、かかる時間は異なります。

現在、パスワード設定で最も重視すべきなのは「桁数」と言われ、12桁を推奨する専門家が多いのもこういった理由からなのです。

安全なパスワードはどう作ったらいい?

フレーズから自分で作る

1.個人を推測されない自分が好きな文字列を作成

例:お金大好き!貯金好き
ローマ字に変換 ⇒ okanedaisuki!chokinzuki

2.代替えできそうな文字に数字や記号を当て字する

例)濁点を大文字、あ→に変換 ⇒ ok@neD@iski!chokinZuki

3.ローマ字の母音(a以外のiueo)を、日本語キーボードの(いうえお)に置き換える

例)o=お=u=う=6k@neD@iski!ch6kinZ4ki

4.自分の使いやすい桁数(12桁以上)に調整

「い」=「i」を削除「6k@neD@iski!ch6kinZ4ki」 ⇒ 6k@neD@sk!ch6knZ4k

この例ですと18桁であっても、比較的覚えやすいパスワードができました。変換の法則をメモにとっておくと良いでしょう。

また、最初の日本語フレーズを決めるときに、関連性の無い3つの短い単語を組み合わせる方法をとれば、もっとバリエーションが出せると思います。

例)基本パスワード そら-りんご-くろ ⇒ sora-ringo-kuro
大文字小文字、数字、記号を入れる ⇒ sOra-Rin5!9ro
Amazonアカウント用 ⇒ sOra-Rin5!9ro-AMZ
Facebookアカウント用 ⇒ sOra-Rin5!9ro-FBK

このように、基本パスワードをベースに、サービス毎に文字列を付け加えれば、全てのアカウントで異なるパスワードをつけることが可能になります。

自作したパスワードの強度チェック

自作のパスワードの強度は、以下のようなサイトでチェックすることができます。

カスペルスキーパスワードチェック

https://password.kaspersky.com/jp/

パスワード生成サービスを使う

大手セキュリティーソフト会社が提供する、強度の高いキーワードを自動で生成できるサイトがあります。自分で作る自信が無い方におすすめです。 生成されたパスワードは意味の無い文字列になっていますので、打ち間違いをしにくそうなパスワードを選ぶことが重要です。 そして、そのパスワードは必ず人に見せることの無い手帳などにメモをしておきましょう。

ノートンIDセーフ パスワードジェネレータ

https://my.norton.com/extspa/passwordmanager?path=pwd-gen

安全なパスワード管理方法とは?

定期変更より、長いパスワードを使え

以前は、パスワードは定期的に変更した方が安全という事が言われていました。しかし、米国国立標準技術研究所 (通称NIST)が定期変更というルールが簡単なパスワードが使われる原因となっているという研究結果を出しました。その結果、ここ数年は定期変更より「長く強固なパスワード」を設定した方が良いというのが常識になっています。 日本も国としてこの方針を支持し、国内でも様々なWebサービスに徐々に浸透しつつあります。

出典:総務省 国民のための情報セキュリティサイト
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html

パスワード変更するのはどんな時?

では、パスワードを変更するときはどんな時でしょう?それは、利用するサービス事業者が個人情報漏えい事故をおこしたり、大規模な情報漏えい事件が報道された場合です。他人に見られてしまったかも知れない場合にも変更しておきましょう。特に、金融機関や決済情報を登録しているサービスの情報漏えいは、金銭被害にすぐに結びつく可能性があるため、即座にパスワード変更をすべきです。最近、サイバー攻撃による個人情報漏えい事故が多発していますので、常にニュースに関心を持っておくことが大切です。

【注意】 銀行をかたるフィッシング詐欺も存在します。変更の際は本物の通知かどうかご確認ください。
詳しくは偽メールのチェックポイントをご確認ください。

パスワードの使い回しは絶対にしない

同じパスワードを使いまわすのは危険

たった一か所の情報漏えいで、攻撃者があなたのアカウントすべてにアクセスすることができるようになります。パスワード作成の中で述べたように、サービス別の文字列を追加するだけでも、安全性は大幅に向上します。自分なりのパスワードルールを決めておくことで、全部をまるごと記憶しなくてもよい方法はあるのです。

パスワードの保管場所はどうする?

意外に安全な保管方法

自分なりのルールを決めていても、サービス事業者が提供したID・パスワードを使わざるを得ない場合や、しばらく使っていないサービスの場合は忘れてしまうこともあるでしょう。一番簡単で誰にでもできる安全な方法があります。

それは「紙に書いておく」ことです。

パソコンやスマホにデジタルデータで記録していた場合、簡単にコピーされ、転送されるリスクがあります。 しかし、パスワードを紙に書いて財布やシステム手帳など、いつも身近に所有しているものの中に保管しておけば、それを紛失しない限り人に見られる可能性は極めて低いといえます。

パスワードを知ろうとするなら、盗み出さなくてはなりませんから。 パスワードの保管場所について触れた取材記事にはこう書かれています。

紙の手帳に書いておくのもいいと思います。ポイントは、パスワードを全て記述しないことです。例えば、最初には「$」、最後には「¥」をつけたことだけ覚えて置き、手帳には「B8s$39」とメモする。実際のパスワードは「$B8s$39¥」なので、もし落としたとしても即悪用されることはありません。手帳紛失のリスクに備え、コピーをとって自宅に保管しておき、なくしてしまったらすぐにパスワードを変更できるようにしておくと万全です。

「ポール神田 × 辻 伸弘 ネットセキュリティ対談10人に1人がパスワードを「1234」に設定! その危険性とは?」
引用:https://www.onlinesecurity.jp/feature/20150116_01.html

覚えるパスワードは1つのみ!究極のパスワード管理方法とは?

ここまでは、自分の力でなんとか安全なパスワードを作って、忘れないように安全に保管する方法を紹介してきました。

でも、どう思いますか? 面倒くさくないですか?

面倒なことこそ、機械任せにしてしまってはどうでしょう?最後に究極の方法、「覚えるパスワードは1つだけ」、パスワード管理ソフトについてご紹介したいと思います。 市販されているパスワード管理ソフトはいくつもありますが、その中の一つとして、今回はノートン™ パスワードマネージャーを紹介します。

ノートン™ パスワードマネージャーとは

ノートン パスワード マネージャーは、1つのマスターパスワードでデータ保管庫のロックを解除するため、パスワードを記憶することなく、簡単にアカウントにログインできます。

ノートン パスワード マネージャーのツールを使用すると、パスワード、クレジットカード情報およびオンライン資格情報などすべてを、個人専用の暗号化されたクラウド型データ保管庫で安全に作成、格納、管理できます。

  • ログイン情報、個人情報、口座情報などの重要な情報をクラウド保管庫に保存して管理
  • パソコン、スマートフォン、タブレット、マルチデバイスでアクセス利用可能

ノートン™ セキュリティ オンラインがおすすめ

「ノートン™ セキュリティ オンライン」は追加料金なしで「ノートン™ パスワードマネージャー」をご利用いただけます。
ノートン™ セキュリティ オンラインはウイルス駆除や様々なネットの危険から守る総合セキュリティ対策ソフトです。これさえあれば、PCやスマホをネットの脅威から守りつつ、大事なパスワード管理も一括で行えるので安心です。

NortondivfeLock
総合セキュリティ対策
月額ノートン™ セキュリティ オンライン デラックス
対応OS
WindowsMacAndroidiOS
月額539円(税込)

以上、安全なパスワード管理方法をご紹介しました。

パスワードの漏洩は他人事ではない身近な被害になっています。ご紹介した安全なパスワード生成方法を実践し、管理も徹底して自分の身を守りましょう。