安全なパスワードのために「使ってはいけない言葉」「悪いパスワード例」「危険な単語」「危険な組み合わせ」を知りましょう。
犯罪者は何十億ものパスワードのリストを元に総当たりで不正ログインを試みます、危険な単語を使ったパスワードはいずれ破られて悪用されてしまいます。
誕生日や名前をパスワードに使っている方、今すぐ変更すべき理由をやさしくご説明します。
人はパスワードをいくつ覚えられるのだろう?
普通の人が覚えられるパスワードはせいぜい3つから4つ
普通の人間にとってパスワードのような意味のない記号を記憶することは非常に難しいです。
「覚えられるパスワードは何組?」と聴いたアンケートによると、「2~3組」が55%、「4~5組」23%と回答があったそうです。
これはずいぶん昔「2009年の野村総合研究所の調査」の結果で、まだあまりパスワードの重要性が言われなかった時でこの数字です。
今はセキュリティ意識が格段に高まっているため、簡単なパスワードでは許してくれないサービスが増えています。
まして重要なシステムや機密情報用の長いパスワードなんてとても覚えることはできません。
パスワードの記憶は年々大変になり、もはや不可能になっている気がします。
パスワードを強化する重要性はわかっても、とても実現できるとは思えません。
記憶の壁を乗り越えてパスワードを覚える方法を考えて、、、、
「使い回しはするな」と言われても、普通の人間が10も20も異なったパスワードを覚えることなんてとうていできません。
「使いまわし」 や
「覚えやすい単語や数字の組み合わせ」
になってしまうのはどうしようもありません。
そこで誰もが「何通りかの覚えることができて、一見他人が知らなそうな言葉」や「誕生日、記念日の日付」を組み合わせて「複雑なパスワードを作る」というの運用方法を使ってしまいます。
きっとあなたも同じではないですか? 私もそうでした、、、
身に覚えがない「dアカウントでログインした方に送信しています」とか「dアカウントのセキュリティコード確認」などの通知メッセージを受け取った方はいませんか?2018年の秋。dアカウントのパスワードを使い回していた私は、不正アクセスされて不[…]
誰もが良くやる「このパスワードの使い方」。ほんとに大丈夫?
「私は使い回しなんかしていないぞ。ちゃんと使い分けている」と言う方がやっているパスワードの使い方はおそらく上の方法でしょう。
- 銀行のような最重要アカウント・・・「かわいい孫の名前と誕生日=yumi1221 を使おう」
- Facebook、楽天のような普通のアカウント・・・「娘の名前と誕生日=yoko0521 でいいか」
- それ以外のサービス・・・「お母さんの名前と誕生日=miyuki0421 にしておこう」
- 「パスワードの変更が必要な時はこの三つのパスワードを入れ替えて対応すればおぼえられるな」
残念ながらこれは「推測できる安易な単語」と「使い回し」の併用でしかなく、「安全どころか極めて危険な使い方、悪いパスワード例そのもの」です。
家族の「名前」や「誕生日」はすぐにばれてしまう最悪の危険単語。しかもそれを使い回ししては、、
簡単に推定できる単語をパスワードを使い分けても、結局は「使い回し」に過ぎません。
どこか一つののアカウントが流出することで、類際されて使い回しているすべてのアカウントがすべて危険にさらされることになってしまいます。
こんな投稿をFacebookやTwitterに投稿した経験はありませんか?
「昨日は妻の誕生日だったので、叔父の田中さんを呼んでパーティをしました」
「妻の好物のカニ料理を堪能しました」
「大好きなペットの太郎です」
これらの投稿から、「奥さんの誕生日と旧姓、好きな食べ物」「ペットの名前」が分かり、パスワードを推定したり、パスワードリマインダーの「秘密の質問」を割り出すなど、不正侵入のヒントをつかむこともできてしまいます。
「昨日は娘の誕生日で近所のレストランで食事しました」とまSNSの書き込みに、「レストラン名や娘さんの名前の入ったケーキの写真」でも付いていれば、それだけで重要な個人情報になってしまいます。
アカウントの不正使用の多くは、家族や友人知人、身近な人によって行われている事実を忘れてはいけません。
2019年7月16日、オバマ前大統領やビル・ゲイツ氏など世界的な有名人の公式アカウントが乗っ取られ、偽Twitterメッセージが全世界に送られて大きな被害が発生しました。「犯行の手口はソーシャルエンジニアリング」とされています。ソ[…]
使い回していたばっかりに、、、、アメリカの有名なIT記者を襲った悲劇
次のリンクは、アメリカのIT専門の記者がアカウントを盗まれて、名誉やプライバシーを大きく傷つけられ、家族の写真など大切なデシタルデータまで失ってしまった「恐怖の顛末」です。
この記者、もちろんプロとして、アカウント管理にはかなり気をつけていました。
しかしオンラインサービスの盲点をついた攻撃でひとつのパスワードを奪われ、「うっかりパスワードを使い回していた」おかげで他のサービスにも続々侵入されて、「偽の書き込みはされるわ、大切な写真を消去されるは」ひどい目にあいました。
この記者は思い出も、ベテラン記者としての信用も失ってしまったのです。
ひと昔前の記事ですので、今はこんな欠陥はなくなったと信じたいですが、まだまだ同様のリスクは今でもあり得ます。
いったん漏れた「使い回しされたパスワード」は被害をどんどん広げてしまいます。
長文ですが、ぜひご覧になってください。非常に興味深い必読記事です。
パスワードは、個人情報を守ってくれる砦でも何でもない。
いまやどんな人のパスワードも簡単に手に入るようになり、パスワードの時代は終焉を迎えた。US版『WIRED』のシニア・ライターを務める筆者は、Twitterをはじめとする、ありとあらゆるアカウントをハックされ、子どもとの思い出の写真から仕事の記録、信頼から名誉まですべてを失った。
わたしたちは、デジタルの世界で自分の身を守れるのか?
(本誌『WIRED』VOL.8より転載)
「WIRED JAPAN」より
全米を震撼させたパイプラインの停止の原因はひとつのバスワードが破られたから!?
2021年5月7日、アメリカ国内最大の石油パイプライン「コロニアルパイプライン社」がランサムウェアによる攻撃でストップし、一時非常事態が宣言されるという大事件が発生しました。
後日発表された攻撃の原因は「コロニアル社の社外からの通信用のVPNのたった1つのパスワードを破られて侵入を許してしまった」からだそうです。
コロニアル社は5年間でセキュリティに2億ドル(220億円)以上を投資していて、今回の事件を解決するために身代金として500万ドル(5億5千万円)も支払いました。
これらの被害はたった1つのパスワード破りでもたらされたのです。
なお、コロニアル社は 破られたパスワードに「二段階認証を導入していなかった」ことが大失敗だと非難されています。
パスワードリストを元に行われるパスワードリスト攻撃とは?
リストを元に総当たりで不正ログインを試みる
毎日のように発生しているパスワードの流出事件。
「オンラインサービスを登録したまま」だったり、「使わないで放置したIDとパスワード」などのアカウント情報は、いつの間にか流出してしまっています。
パスワードが流出したらどうなってしまうのでしょう?
- 流出したパスワードはリスト化されて、闇市場(ダークウェブ)で売買され犯罪者の間に流通する
- パスワードリストを手に入れた犯罪者は、さまざまなサイトやサービスに対して、パスワードリストを使って不正ログインを試みる。
- サイトやサービスのアカウントと、リストのパスワードが一致してしまったユーザーが不正ログインの被害を受ける
ことになってしまいます。
このように、パスワードリストを使って総当たりして、ログインできる組み合わせを見つけて侵入する攻撃をパスワードリスト攻撃(またはブルートフォース攻撃)と言います。
毎日のようなセキュリティ犯罪が発生しています。コジマ、イオンカード、三越伊勢丹、ヤマト運輸など大手のサイトがパスワードリスト攻撃により不正アクセスされ大きな被害を出してしまいました。ユーザーは防ぎようもないパスワードリスト攻撃(ブル[…]
2021年6月、なんと84億件ものパスワードが載ったリストが押収された
アメリカのセキュリティ情報サイトCybernewsによると、2021年6月7日、史上最大規模のパスワードリストが発見されました。
「RockYou2021」と名付けられた84億件ものパスワードリストは、100GBにもなる巨大なデータで、過去の多くの情報流出や不正アクセスによって犯罪者に集められたものの集約ということです。
こうしたパスワードがパスワードリスト(ブルートフォース)攻撃に使われています。
なお、Cybernewsは、84億件のパスワードに自分のものが含まれていないか調べるサービスを開始しました。
Cybernewsは信頼できるサイトですので、念のためお調べください。
■Check if your password has been leaked(英文:パスワードが漏洩していないか確認する)
こうしたパスワードがパスワードリスト攻撃に使われています。
では、パスワードリストに載っている危険な単語、悪いパスワードの例とはどんなものなのでしょうか?
日本人が使う最悪パスワードの特徴は「一見複雑なパスワード」を使うこと!
2020年6月、ITセキュリティ会社のソリトンが「日本人のパスワードランキング2020」[ソリトン社資料(PDF)]を発表しました。
海外とかなり様子が異なり、日本人の特性を表しているようです。
日本人の危険なパスワードの特徴は、
- 1位「123456」、3位「asdfghjk」、8位「1qaz2wsx」、17位「zxcvbnm」のようにキーボードの配列順のものが多い
- 9位「19980621」、14位「20121204」など日付が目立つ
- 11位に「jza90supra」とかつて人気だったトヨタのスープラの型番号が入る
などです。
まじめな日本人は海外のように、「あからさまに安易なパスワード」はあまり使わないようにしているようです。
しかし、一見複雑そうなパスワードも、多くの人が使えば流出してしまい、パスワードリストに掲載されてしまいますので、危険度は「123456」とあまり変わらないのです。
パスワードに使っただけで危険な言葉、パスワードの悪い例
使ってはいけない単語を決して使わない
「個人で使うにはまず安全」なパスワード作りのために、最初にご紹介するのは「パスワードには使ってはいけない危険な単語」です。
しかし全世界では相変わらず「123456」といった危険なパスワードが当たり前のように使われています。
「簡単なパスワード」や「使い回したパスワード」を使うことは「自宅の鍵をばらまく」に等しい最も危険な行為です。しかし不正ログインなど多くのサイバー犯罪の原因にもかかわらず、相変わらず危険なパスワードを使ってしまう人はなくなりません。2[…]
このリストに出ているような単語は日常のデジタル使用では絶対に使ってはいけない言葉ばかりです。
ぜひ本日「使ってはいけない危険な単語」を覚えてしまいましょう。
ハッカーの持っているリストに載っていそうな言葉
既にご説明した通り、悪意のハッカーたちは、攻撃に使うため「悪いパスワード例を集めた膨大なパスワードリスト」を持っています。
このリストは彼らの世界で常に流通し、日々アップデートされ、数を増やし精度も高められています。
一例としてパスワードリストに記載されている以下の言葉を上げてみます。何の言葉かお分かりですか?
「世界的なアーティスト」や「映画のタイトル」ですが、これらは頻繁にパスワードにも流用されるため、ハッカーは必ず不正ログインの時に試しています。
さらにハッカーにとっては、リストを片っ端からあたるのは無駄も多いため、彼らなりに攻撃する際の優先順位や手法を考え、試行錯誤して、少しでも合理的に早く攻撃に成功する手段・手法を日夜工夫しています。
我々パスワードを守る側としては、みすみすハッカーたちのえじきになる可能性を少しでも少なくするために、この「リストに乗っていそうな単語」とか「優先度が高いそうな文字使い」を避けることが必要です。
何度かご紹介している総務省の「国民のための情報セキュリティサイト」では「安全なパスワードの作り方」を以下のように説明しています
簡単に推測できる言葉
パスワードの推測や盗用は、悪意のハッカーだけでなく、あなたの誕生日をはじめとするプライベート情報をよく知っている「身近な誰か」がSNSを通じて知った情報を元に軽い気持ちで試してしまうかもしれません。
「ベットの名前」「家族の誕生日」「好きなスポーツチームの名前」「映画や主人公の名前」、、これらはしばしばパスワードに使われることで知られ、身近な人なら簡単に推測されてしまう言葉です。
事実として、パスワードの盗用は家族や友人など身近な人の犯行が多いのです。
2019年7月16日、オバマ前大統領やビル・ゲイツ氏など世界的な有名人の公式アカウントが乗っ取られ、偽Twitterメッセージが全世界に送られて大きな被害が発生しました。「犯行の手口はソーシャルエンジニアリング」とされています。ソ[…]
またあなたが不用意にパスワードをメモしたものを、盗み見られている(ソーシャルエンジニアリングと言います)かもしれません。
身近な方に悪意はなくても、そこを経路に外部の悪人にもれてしまう危険もあるのです。
基本として押さえよう! 総務省のすすめる「パスワードに使ってはいけない言葉」
総務省のすすめる安全なパスワードとは
安全なパスワードとは、他人に推測されにくく、ツールなどで割り出しにくいものを言います。
(1) 名前などの個人情報からは推測できないこと
(2) 英単語などをそのまま使用していないこと
(3) アルファベットと数字が混在していること
(4) 適切な長さの文字列であること
(5) 類推しやすい並び方やその安易な組み合わせにしないこと
逆に、危険なパスワードとしては、以下のようなものがあります。このような危険なパスワードが使われていないかどうか、チェックをするようにしましょう。
言葉の種別 具体例 (1) 自分や家族の名前、ペットの名前 yamada、tanaka、taro、hanako(名前)
19960628、h020315(生年月日) tokyo、kasumigaseki(住所) 3470、1297(車のナンバー) ruby、koro(ペットの名前) (2) 辞書に載っているような一般的な英単語 password、baseball、soccer、monkey、dragon (3) 同じ文字の繰り返しやわかりやすい並びの文字列 aaaa、0000(同じ文字の組み合わせ) abcd、123456、200、abc123(安易な数字や英文字の並び) asdf、qwerty(キーボードの配列) (4) 短すぎる文字列 gf、ps (5)他人から類推しやすい情報 電話番号、郵便番号、生年月日、社員コード、ユーザーID 総務省の「国民のための情報セキュリティサイト」「安全なパスワードの設定」より引用
※原文は文章ですが、表にまとめました。
どのパスワードも、今までご説明したきた内容をご覧になった方は、決してお使いにならないような、「危ない単語」ばかりですね。
しかしこれは安全なパスワード使用するための基本中の基本としてしっかり覚えてください。
ハッカーの裏をかくパスワードに使う文字や単語の選び方とは?
悪い奴らの狙いから距離を置く、パスワードの文字・数字の選び方
悪意のハッカーは非常に頭が良くて狡猾(こうかつ)です。
しかも彼らの手中には、既にネットに世界に流失してしまった膨大なパスワードのリストがあります。
もちろん「有名人の名前、地名、スポーツ団体名、映画の名前」など、およそ人が思いつきそうな固有名詞はすべて、パスワードリストに入っています。
これらを分析すると、ユーザーが知らないうちに陥っているクセや習慣が見えて来ますので、ハッカー達は「ユーザーが陥りがちなパスワードのパターンやクセ」を読み取ろうとし、日夜情報交換しながら、攻撃の精度を高めています。
「ユーザーが陥りがちのパターンやクセ」を避ける方法は以下のような方法です。
1 ハッカーの狙いから逃れるパスワード作法1~「パターンを外す」
数字の羅列はパスワードの基本ですが、「誕生日」などつい日付の数字を使ってしまいます。
4つの数字0000~9999まですべて使えば「10,000通り」の組み合わせがあるはずですが、うっかり「日付の数字だけを使う」でパスワードを作ってしまうと、わずか366通りに減ってしまいます。
だから「ああ、日付だな」と類推されてしまう誕生日はダメなのです。
同様にアルファベットの並び順「例:adcde」とか、キーボードの並び順「例:qwerty」も当然ながら避けましょう。
2 ハッカーの狙いから逃れるパスワード作法2~ありがちな文字の並びを避ける。
せっかく数字と英大文字・小文字、記号を混雑させたパスワードを作っても、つい「先頭文字を大文字」にしたり「記号は先頭か末尾」に使っていませんか?
人間のこうしたクセをハッカーは見逃しません。
特に危ないのは 最後に感嘆符「!」をつける です。これはハッカーが最初に試すパターンのひとつです。
つい自然に打ち込まず「意識して順番を変える」ひと工夫が必要です。
3 ハッカーの狙いから逃れるパスワード作法3~これまで紹介されてきた「パスワードの作り方」は避ける
既に知られている文字を置き換える方を安心して使うのは止めましょう。これはたとえば「i」を「!」 0(ゼロ)を「O(オー)」、4をAに置き換えるというようなやり方です。
今でもこの読み替えを奨めているような解説もありますね。
もっともこの置き換えは「類推できにくく長いパスワード」の中で使うのは構いません。
問題なのは安易なパスワードをこの方法で偽装したのでは全く無意味ということです。
たとえば
常にダメパスワードリストの筆頭にあがっている
「123456」を「123A56」
「password」を「p4ssw0rd」に
偽装してもばれちゃうよと言うことです。
ハッカーは「良く使われるパスワード」のリストだけでなく、いろいろな「パスワードの作り方で紹介された方法」を集めたリストは当然持っています。
4 ハッカーの狙いから逃げるパスワード作法4~ネットで見つかる個人につながる単語は使わない
ネットにある情報は、容易に検索して集めることができます。どんな膨大な情報からでも、コンピューターとネットの助けを借りれば、容易に調べることができてしまいます。
「地名、人名、組織名」などが危険なのは当たり前ですが、
・メールアドレスの@の前に使われている名称
・IDやニックネームのような、公開されている名称
は決して使うべきではありません。
あなたのアカウントを狙う者は、実はあなたのことを知っている身近な人の可能性が高いことも忘れてはいけません。
以上の事を基本に、具体的なパスワードの作っていきましょう。
ではパスワードを安全に作るにはどうしたら良いか?
単語のパスワードはもう無理、組み合わせたパスフレーズを使おう
- 「パスワードは8文字以上、英数字/大文字/小文字と記号をまぜた複雑なもので」
- 「パスワードは定期的に変更しよう」
は古い常識で、今では間違っています。
現在の正しいパスワードの常識は
- パスワードは少なく12文字から14文字以上が必要。
です。
また長いパスワードにすれば、英数字/大文字/小文字と記号をまぜる必要はなく、定期的な変更も必要ありません。
以上の事から、「覚えられない意味不明のパスワード」を作ることを止め、「自分だけが分かる覚えやすいパスフレーズ」を作るようにしましょう。
詳しくはぜひ以下の当ブログ記事をご覧ください
「パスワードは文字種を組み合わせ8文字(8桁)以上」「時々変更しよう」。これは古い危険な情報です。内外の最新の解析や研究を検証した結果は「8文字パスワードは強度不足!」、また「強いパスワードを設定したら二度と変更の必要なし!」。パス[…]
パスフレーズと私だけが知る「マイルール」で万全のパスワード管理を
「パスワードに変わるパスフレーズ」は、自分が覚えやすい文章や単語を組み合わせて、長い文を作り、それを自分だけのルールを使って作ります。
たとえば
です。
また、こうやって作った長くて強いパスワードを、自分だけの法則をつけて、多数のバリエーションを作り、多くのアカウントのパスワードを安全に覚えて使うことも可能になります。
詳しくは当社の下記ブログをご参照ください。
コンピューターの進歩によってパスワードの作り方の基準は変わっています。今では「8文字(8桁)のパスワードは弱くて危険」で「強いパスワードは定期的な変更は不要」が正しい考え方です。どうして8文字では危険なのか?最新の研究を元に、最強のパス[…]
結局パスワードマネージャー(パスワード管理ツール/アプリ)がすべてのパスワード問題を解決する
上の方法をマスターすれば、ある程度の数まではなんとか記憶やメモで対応できます。
しかし覚えるべきパスワードが100もあったらとても不可能です。
Digital Keeperがおすすめするのは、やはり「パスワードマネージャー(パスワード管理ツール/アプリ)」の使用です。
【メリット1】パスワードを使う「安全性」と「便利さ」を両立してくれる優れもの
パスワードマネージャー(パスワード管理ツール)を使うためのマスターパスワードをひとつ覚えておくだけで、以下のような機能を提供してくれます。
- あなたに代わってアカウントのIDやパスワードを安全・確実に記録し保管する。
- スマホ(iPhone、Android)でもパソコンでも、アプリでも、すべての端末やサービスで利用できる。
- あなたがアカウントを使う時、記録したIDやパスワードのアカウント情報を呼び出し、教えてくれる。
- 新規にアカウントを作るとき、あなたの代わりに「安全で推測不可能なパスワード」を生成して提案し保管してくれる。
【メリット2】重要情報の保管場所としても最適
またIDとパスワードの管理だけでなく、さまざまな重要情報、秘密情報もありますが、パスワードマネージャー(パスワード管理ツール)は、情報の安全な秘密金庫としての役割も果たしてくれます。
- 預かっているアカウント情報をチェックし、安全度が低いパスワードや、流出しているアカウントの情報を教え、変更をすすめてくれる。
- アカウント情報だけでなく、クレジッカード情報や銀行口座情報などの機密情報を安全に保管し、「支払でカード情報を入力」「住所を入力」する時、あなたに代わって入力を代行してくれる。
- 安全に保管したいデータ(文字情報、ExcelやWordのデータファイルなどPCで扱える形式のもの)を、安全に保管する情報金庫の機能もある。
今やパスワードマネージャーを使わない理由はありません!!
詳しくは当ブログの記事をご覧ください。
強固なパスワードをあなたに代わって生成し安全に保管し、入力も代行してくれる「パスワードマネージャー(パスワード管理ツール)」は、パスワードに関する悩みを解消するだけでなく、秘密情報の保管場所としても利用できる、まさに現代の必需品です。今[…]
「大切なパスワードをパスワードマネージャー(パスワード管理ツール)なんかに預けて大丈夫?」「クラウド保管は危ないのでは?」と不安な方も多いと思います。しかし実はパスワード管理はツールやクラウドを使った方がはるかに安全で便利です。現実的に[…]
まとめ:
安全なパスワードを使用して、安心にデジタルを使いこなしましょう
「危険な単語」使わず、適度な長さのしっかりしたパスワードを使うことは、日常のデジタル使用の基本中の基本ですが、正しい使い方はあまり理解されていません。
複数のフレーズをつないで、「長くて推測できない強いパスワード」を作るしゅうかんを、ぜひ今日からはじめて下さい。