fbpx

パスワードに使っては危険な単語や使い方を知ろう!

パスワードには「使っただけで危険」な単語や、避けるべき文字の使い方。組み合わせ方があります。
安全なパスワードのため、まず「悪いパスワード例」「危険な単語」「危険な組み合わせ」を知りましょう。危険な単語を使ったパスワードはいずれ破られて悪用されるリスクが高くなります。
目次
/ins>

 人はパスワードをいくつ覚えられるのだろう?

普通の人が覚えられるパスワードはせいぜい3つから4つ

普通の人間にとってパスワードのような意味のない記号を記憶することは非常に難しいです。

「覚えられるパスワードは何組?」と聴いたアンケートによると、「2~3組」が55%、「4~5組」23%と回答があったそうです。

これはずいぶん昔「2009年の野村総合研究所の調査」の結果で、まだあまりパスワードの重要性が言われなかった時でこの数字です。

今はセキュリティ意識が格段に高まっているため、簡単なパスワードでは許してくれないサービスが増えています。

まして重要なシステムや機密情報用の長いパスワードなんてとても覚えることはできません。

パスワードの記憶は年々大変になり、もはや不可能になっている気がします。

パスワードを強化する重要性はわかっても、とても実現できるとは思えません。

 

記憶の壁を乗り越えてパスワードを覚える方法を考えて、、、、

「使い回しはするな」と言われても、普通の人間が10も20も異なったパスワードを覚えることなんてとうていできません。

  「使いまわし」 
  「覚えやすい単語や数字の組み合わせ」

になってしまうのはどうしようもありません。

そこで誰もが「何通りかの覚えることができて、一見他人が知らなそうな言葉」「誕生日、記念日の日付」を組み合わせて「複雑なパスワードを作る」というの運用方法を使ってしまいます。

きっとあなたも同じではないですか? 私もそうでした、、、

ブログ内の関連記事(新しいウィンドウで開きます)

身に覚えがない「dアカウントでログインした方に送信しています」とか「dアカウントのセキュリティコード確認」などの通知メッセージを受け取った方はいませんか?2018年の秋。dアカウントのパスワードを使い回していた私は、不正アクセスされて不[…]

フィッシング犯人より「dアカウント セキュリティコードの入力を求める」SMS

 

誰もが良くやる「このパスワードの使い方」。ほんとに大丈夫?

「私は使い回しなんかしていないぞ。ちゃんと使い分けている」と言う方がやっているパスワードの使い方はおそらく上の方法でしょう。   

  1. 銀行のような最重要アカウント・・・「かわいい孫の名前と誕生日=yumi1221 を使おう」
  2. Facebook、楽天のような普通のアカウント・・・「娘の名前と誕生日=yoko0521 でいいか」
  3. それ以外のサービス・・・「お母さんの名前と誕生日=miyuki0421 にしておこう」
  4. 「パスワードの変更が必要な時はこの三つのパスワードを入れ替えて対応すればおぼえられるな」

残念ながらこれは「推測できる安易な単語」と「使い回し」の併用でしかなく、安全どころか極めて危険な使い方、悪いパスワード例そのもの」です。

 

家族の「名前」や「誕生日」はすぐにばれてしまう最悪の危険単語。しかもそれを使い回ししては、、

こんな風に3つのパスワードを使い分けても、結局は「使い回し」に過ぎません。

どこか一つののアカウントが流出することで、類際されて使い回しているすべてのアカウントがすべて危険にさらされることになってしまいます。

また家族の名前や誕生日は、SNSなどさまざまなネットの情報を丹念に検索して分析すれば、容易に推定できる「ほとんど公開されている情報」です。

「昨日は娘の誕生日で近所のレストランで食事しました」とまSNSの書き込みに、「娘さんの名前の入ったケーキの写真」でも付いていれば、個人情報集めには十分です。

ましてアカウントの不正使用の多くは、家族や身近な人によって行われている事実を忘れてはいけません。

ブログ内の関連記事(新しいウィンドウで開きます)

 2019年7月16日、オバマ前大統領やビル・ゲイツ氏など世界的な有名人の公式アカウントが乗っ取られ、偽Twitterメッセージが全世界に送られて大きな被害が発生しました。「犯行の手口はソーシャルエンジニアリング」とされています。ソ[…]

socialengineering ソーシャルエンジニアリングのイメージ

 

使い回していたばっかりに、、、、アメリカの有名なIT記者を襲った悲劇

次のリンクは、アメリカのIT専門の記者がアカウントを盗まれて、名誉やプライバシーを大きく傷つけられ、家族の写真など大切なデシタルデータまで失ってしまった「恐怖の顛末」です。

この記者、もちろんプロとして、アカウント管理にはかなり気をつけていました。

しかしオンラインサービスの盲点をついた攻撃でひとつのパスワードを奪われ、「うっかりパスワードを使い回していた」おかげで他のサービスにも続々侵入されて、「偽の書き込みはされるわ、大切な写真を消去されるは」ひどい目にあいました。

この記者は思い出も、ベテラン記者としての信用も失ってしまったのです。

ひと昔前の記事ですので、今はこんな欠陥はなくなったと信じたいですが、まだまだ同様のリスクは今でもあり得ます。

いったん漏れた「使い回しされたパスワード」は被害をどんどん広げてしまいます。

長文ですが、ぜひご覧になってください。非常に興味深い必読記事です

パスワードは、個人情報を守ってくれる砦でも何でもない。
いまやどんな人のパスワードも簡単に手に入るようになり、パスワードの時代は終焉を迎えた。US版『WIRED』のシニア・ライターを務める筆者は、Twitterをはじめとする、ありとあらゆるアカウントをハックされ、子どもとの思い出の写真から仕事の記録、信頼から名誉まですべてを失った。
わたしたちは、デジタルの世界で自分の身を守れるのか?

(本誌『WIRED』VOL.8より転載)
「WIRED JAPAN」より

 

パスワードに使っただけで危険な言葉とは?

使ってはいけない単語を決して使わない

「個人で使うにはまず安全」なパスワード作りのために、最初にご紹介するのは「パスワードには使ってはいけない危険な単語」です。

しかし全世界では相変わらず「123456」といった危険なパスワードが当たり前のように使われています。

ブログ内の関連記事(新しいウィンドウで開きます)

「簡単なパスワード」や「使い回したパスワード」を使うことは「自宅の鍵をばらまく」に等しい最も危険な行為です。しかし不正ログインなど多くのサイバー犯罪の原因にもかかわらず、相変わらず危険なパスワードを使ってしまう人はなくなりません。2[…]

【2020最新】「最悪のパスワードのリスト」~使ってはダメなパスワード上位50

このリストに出ているような単語は日常のデジタル使用では絶対に使ってはいけない言葉ばかりです。

ぜひ本日「使ってはいけない危険な単語」を覚えてしまいましょう。

 

ハッカーの持っているリストに載っていそうな言葉は避ける

既にご説明した通り、悪意のハッカーたちは、攻撃に使うため「悪いパスワード例を集めた膨大なパスワードリスト」を持っています。
このリストは彼らの世界で常に流通し、日々アップデートされ、数を増やし精度も高められています。

さらにハッカーにとっては、リストを片っ端からあたるのは無駄も多いため、彼らなりに攻撃する際の優先順位や手法を考え、試行錯誤して、少しでも合理的に早く攻撃に成功する手段・手法を日夜工夫しています。

我々パスワードを守る側としては、みすみすハッカーたちのえじきになる可能性を少しでも少なくするために、この「リストに乗っていそうな単語」とか「優先度が高いそうな文字使い」を避けることが必要です。

何度かご紹介している総務省の「国民のための情報セキュリティサイト」では「安全なパスワードの作り方」を以下のように説明しています

基本として押さえよう! 総務省のすすめる「パスワードに使ってはいけない言葉」

総務省のすすめる安全なパスワードとは

安全なパスワードとは、他人に推測されにくく、ツールなどで割り出しにくいものを言います。

(1) 名前などの個人情報からは推測できないこと

(2) 英単語などをそのまま使用していないこと

(3) アルファベットと数字が混在していること

(4) 適切な長さの文字列であること

(5) 類推しやすい並び方やその安易な組み合わせにしないこと

逆に、危険なパスワードとしては、以下のようなものがあります。このような危険なパスワードが使われていないかどうか、チェックをするようにしましょう。

言葉の種別具体例
(1) 自分や家族の名前、ペットの名前yamada、tanaka、taro、hanako(名前)

 

19960628、h020315(生年月日)
tokyo、kasumigaseki(住所)
3470、1297(車のナンバー)
ruby、koro(ペットの名前)
(2) 辞書に載っているような一般的な英単語password、baseball、soccer、monkey、dragon
(3) 同じ文字の繰り返しやわかりやすい並びの文字列aaaa、0000(同じ文字の組み合わせ)
abcd、123456、200、abc123(安易な数字や英文字の並び)
asdf、qwerty(キーボードの配列)
(4) 短すぎる文字列gf、ps
(5)他人から類推しやすい情報電話番号、郵便番号、生年月日、社員コード、ユーザーID

総務省の「国民のための情報セキュリティサイト」「安全なパスワードの設定」より引用

※原文は文章ですが、表にまとめました。

 

どのパスワードも、今までご説明したきた内容をご覧になった方は、決してお使いにならないような、「危ない単語」ばかりですね。

しかしこれは安全なパスワード使用するための基本中の基本としてしっかり覚えてください。

 

ハッカーの裏をかくパスワードに使う文字や単語の選び方とは?

悪い奴らの狙いから距離を置く、パスワードの文字・数字の選び方

悪意のハッカーは非常に頭が良くて狡猾(こうかつ)です。

しかも彼らの手中には、既にネットに世界に流失してしまった膨大なパスワードのリストがあります。

もちろん「有名人の名前、地名、スポーツ団体名、映画の名前」など、およそ人が思いつきそうな固有名詞はすべて、パスワードリストに入っています。

これらを分析すると、ユーザーが知らないうちに陥っているクセや習慣が見えて来ますので、ハッカー達は「ユーザーが陥りがちなパスワードのパターンやクセ」を読み取ろうとし、日夜情報交換しながら、攻撃の精度を高めています。

「ユーザーが陥りがちのパターンやクセ」を避ける方法は以下のような方法です。

1  ハッカーの狙いから逃れるパスワード作法1~「パターンを外す」

数字の羅列はパスワードの基本ですが、「誕生日」などつい日付の数字を使ってしまいます。

4つの数字0000~9999まですべて使えば「10,000通り」の組み合わせがあるはずですが、うっかり「日付の数字だけを使う」でパスワードを作ってしまうと、わずか366通りに減ってしまいます。

だから「ああ、日付だな」と類推されてしまう誕生日はダメなのです。

同様にアルファベットの並び順「例:adcde」とか、キーボードの並び順「例:qwerty」も当然ながら避けましょう。

2  ハッカーの狙いから逃れるパスワード作法2~ありがちな文字の並びを避ける。

せっかく数字と英大文字・小文字、記号を混雑させたパスワードを作っても、つい「先頭文字を大文字」にしたり「記号は先頭か末尾」に使っていませんか?
人間のこうしたクセをハッカーは見逃しません。

特に危ないのは 最後に感嘆符「!」をつける です。これはハッカーが最初に試すパターンのひとつです

つい自然に打ち込まず「意識して順番を変える」ひと工夫が必要です。

3  ハッカーの狙いから逃れるパスワード作法3~これまで紹介されてきた「パスワードの作り方」は避ける

既に知られている文字を置き換える方を安心して使うのは止めましょう。これはたとえば「i」を「!」 0(ゼロ)を「O(オー)」4をAに置き換えるというようなやり方です。
今でもこの読み替えを奨めているような解説もありますね。

もっともこの置き換えは「類推できにくく長いパスワード」の中で使うのは構いません。
問題なのは安易なパスワードをこの方法で偽装したのでは全く無意味ということです。
たとえば
常にダメパスワードリストの筆頭にあがっている
  「123456」「123A56」
  「password」「p4ssw0rd」
偽装してもばれちゃうよと言うことです。

ハッカーは「良く使われるパスワード」のリストだけでなく、いろいろな「パスワードの作り方で紹介された方法」を集めたリストは当然持っています。

4  ハッカーの狙いから逃げるパスワード作法4~ネットで見つかる個人につながる単語は使わない

ネットにある情報は、容易に検索して集めることができます。どんな膨大な情報からでも、コンピューターとネットの助けを借りれば、容易に調べることができてしまいます。

「地名、人名、組織名」などが危険なのは当たり前ですが、

・メールアドレスの@の前に使われている名称

・IDやニックネームのような、公開されている名称

は決して使うべきではありません。

あなたのアカウントを狙う者は、実はあなたのことを知っている身近な人の可能性が高いことも忘れてはいけません。

以上の事を基本に、具体的なパスワードの作り方は、当プログの次の記事をご参考にしてください。

 

ではパスワードを安全に作るにはどうしたら良いか?

単語のパスワードはもう無理、組み合わせたパスフレーズを使おう

  • 「パスワードは8文字以上、英数字/大文字/小文字と記号をまぜた複雑なもので」
  • 「パスワードは定期的に変更しよう」

は古い常識で、今では間違っています。

現在の正しいパスワードの常識は

  • パスワードは少なく12文字から14文字以上が必要。

です。

また長いパスワードにすれば、英数字/大文字/小文字と記号をまぜる必要はなく、定期的な変更も必要ありません

以上の事から、覚えられない意味不明のパスワード」を作ることを止め、「自分だけが分かる覚えやすいパスフレーズ」を作るようにしましょう。

詳しくはぜひ以下の当ブログ記事をご覧ください

ブログ内の関連記事(新しいウィンドウで開きます)

「パスワードは文字種を組み合わせ8文字(8桁)以上、時々変更しよう」。これは古い危険な情報です。内外の最新の解析や研究を検証した結果は「8文字パスワードは強度不足!」。また「強いパスワードを設定したら二度と変更の必要なし!」。パスワード[…]

パスワードをあらゆる手段で盗み出すハッカーのイメージ

 

パスフレーズと私だけが知る「マイルール」で万全のパスワード管理を

「パスワードに変わるパスフレーズ」は、自分が覚えやすい文章や単語を組み合わせて、長い文を作り、それを自分だけのルールを使って作ります。

たとえば

夏までにあと4キロやせるぞ!na2made2ato4kirooyaseruzo! (17文字、マイルールでtsuを2、niも2、最後に「!」をつけます)

です。

また、こうやって作った長くて強いパスワードを、自分だけの法則をつけて、多数のバリエーションを作り、多くのアカウントのパスワードを安全に覚えて使うことも可能になります。

詳しくは当社の下記ブログをご参照ください。

ブログ内の関連記事(新しいウィンドウで開きます)

パスワードには古い危ない常識が残っています。今では「8文字(8桁)のパスワード」は危険で、逆に強いパスワードなら定期的な変更は必要ありません。最新情報から「長いパスワードの必要性」と「簡単で忘れにくいパスワードの作り方」そして「簡単[…]

長くて安全なパスワードを作るヒント

 

結局パスワードマネージャー(パスワード管理ツール/アプリ)がすべてのパスワード問題を解決する

上の方法をマスターすれば、ある程度の数まではなんとか記憶やメモで対応できます。

しかし覚えるべきパスワードが100もあったらとても不可能です。

Digital Keeperがおすすめするのは、やはり「パスワードマネージャー(パスワード管理ツール/アプリ)」の使用です。

【メリット1】パスワードを使う「安全性」と「便利さ」を両立してくれる優れもの

パスワードマネージャー(パスワード管理ツール)を使うためのマスターパスワードをひとつ覚えておくだけで、以下のような機能を提供してくれます。

  • あなたに代わってアカウントのIDやパスワードを安全・確実に記録し保管する。
  • スマホ(iPhone、Android)でもパソコンでも、アプリでも、すべての端末やサービスで利用できる。
  • あなたがアカウントを使う時、記録したIDやパスワードのアカウント情報を呼び出し、教えてくれる。
  • 新規にアカウントを作るとき、あなたの代わりに「安全で推測不可能なパスワード」を生成して提案し保管してくれる。

【メリット2】重要情報の保管場所としても最適

またIDとパスワードの管理だけでなく、さまざまな重要情報、秘密情報もありますが、パスワードマネージャー(パスワード管理ツール)は、情報の安全な秘密金庫としての役割も果たしてくれます。

  • 預かっているアカウント情報をチェックし、安全度が低いパスワードや、流出しているアカウントの情報を教え、変更をすすめてくれる。
  • アカウント情報だけでなく、クレジッカード情報や銀行口座情報などの機密情報を安全に保管し、「支払でカード情報を入力」「住所を入力」する時、あなたに代わって入力を代行してくれる。
  • 安全に保管したいデータ(文字情報、ExcelやWordのデータファイルなどPCで扱える形式のもの)を、安全に保管する情報金庫の機能もある。

今やパスワードマネージャーを使わない理由はありません!!

詳しくは当ブログの記事をご覧ください。

ブログ内の関連記事(新しいウィンドウで開きます)

強固なパスワードをあなたに代わって生成し安全に保管し、入力も代行してくれる「パスワードマネージャー(パスワード管理ツール)」は、パスワードに関する悩みを解消するだけでなく、秘密情報の保管場所としても利用できる、まさに現代の必需品です。今[…]

ブログ内の関連記事(新しいウィンドウで開きます)

「大切なパスワードをパスワードマネージャー(パスワード管理ツール)なんかに預けて大丈夫?」「クラウド保管は危ないのでは?」と不安な方も多いと思います。しかし実はパスワード管理はツールやクラウドを使った方がはるかに安全で便利です。現実的に[…]

 

まとめ:
安全なパスワードを使用して、安心にデジタルを使いこなしましょう

「危険な単語」使わず、適度な長さのしっかりしたパスワードを使うことで、日常のデジタル使いだけでなく、将来デジタル遺産やデジタル遺品のアカウントを大切な方に継承する際の安全性も高まります。

デジタル終活を契機に、ぜひともデジタル遺品やデジタル遺産のアカウントのパスワード見直しを実施しましょう。