破られにくいパスワードの作り方

講師 森田矩夫 さん

【パスワード破りの実態】

 コンピュータシステムやコンピュータネットワークなどにアクセスする場合、本人を識別するためにユーザー IDとパスワードが必要である。この二つが登録されているものと一致すれば本人と断定されてログインできる。 この場合、パスワードが最も重要で、これが他人に知られると、他人が本人になりすまされてしまい、重大な不 法行為を受けかねない。そのため、パスワードは、他人に知られにくいものを使用するとともに、定期的に更新 して、悪用されないように努める必要がある。
 不正アクセスには
  1. 識別符号窃用型・・・・・・・・・・・・パスワード{識別符号}の盗用
  2. セュリティホール攻撃型・・・・・・・セキュリティホールを突いてユーザー認証を回避
の二種類があり、その大部分が識別符号窃用型(パスワード破り)と言われている。その被害は、ネットバイキン グやネットオークションなど金銭がらみのもの件数が多い。

【強力なパスワードを作成する条件】

 一口で言うと、強力なパスワードとは、攻撃者にとってランダムな長い文字列である。

条件1 長くする。
 パスワードの長さは 8 文字以上が望ましく、理想的には 14 文字以上が良い。

条件2 パスフレーズを使用する。
 通常、パスワードには、多くの単語から構成されたフレーズ (パスフレーズ) を使用すると良い。 パスフレー ズはパスワードよりも字数が多いために推測することが困難である。

条件3 文字、数字、記号を組み合わせる。
 パスワードに含める文字の種類を増やせば、それだけそのパスワードを推測することが困難になる。パスワード記 入欄には「英数字」と書いてあるので、小文字のアルファベットと数字しか使わない人が多いが、通常、記号も使用 できるので、記号も積極的に使用するべきである。記号ではShift キーを押しながら数字キーを押して入力するもの (! $ & % ( ) )がパスワードでよく利用されるが、句読点のようにキーボード下段のものやユーザーの母国語に特有 の記号(\)などのものを使用する方が、より強力なパスワードを作ることが出来る。特に、最初の8文字の中に記号を 組み込むとよい。

条件4 文章や文句にこじつけられる様につくる。
 パスワードを長くすると、安全になる反面覚えにくくなる。推測しやすい短い文等にこじつけて、簡単に思い出せ る様に工夫する。

【使ってはいけないパスワード】

○ 連続した文字・同じ文字の繰り返しはダメ。
 「123456」、「7777777」、「abcdefg」、またはキーボード上の隣り合った文字の組み合わせ「qwerty」等はいけ ない。

○ 見た目の似た数字や記号を置き換えはダメ
 “Wlnd0w$”のように、i を 1、oを0、s を $ といった様に見た目の似た文字に置き換えるのはよく使われ るが、これらのやり方はなるべく避けたほうが良い。

○ 身近な文字はダメ
 名前・誕生日・住所などの身近な文字・数字は使用してはいけない。

○ 辞書に掲載された単語の使用はダメ
 パスワード解読ツールは英語・日本語等様々な辞書を参照とするため、辞書にある語句の使用を避ける。

○ パスワードの使い回しはダメ
 一つのパスワードが破られるとほかの場所のパスワードが危険にさらされるので、異なったパスワードを使用する必要が ある。特に、クレジットカード支払いの場合のパスワードは他と区別した特別のパスワードを用いる。

【パスワードの管理】

 パスワードを管理するのには、紙に書き留めておくのが一番簡単で確実な方法である。 書き留めることは危険との意 見もあるが、沢山のパスワールドを正しく管理するためには紙に書き留めて保管することがベストである。書き留めた パスワード一覧表は他人に見られないように保管する。くれぐれもパソコンの中に保管しないこと。 もう一つ重要なこ とは、パスワードを最初に登録するときは、必ず、パスワードを紙に書いて、それを見ながら確実にキーインして登録し、 直ぐ、それを転記して保管することである。そのほか、カード支払いに関係したパスワードは強力なものを使用し、一般 のパスワードと区別するべきである。金銭と関係ない会員登録のパスワードは破られても被害が少ないので簡単なもので よい。また、パスワードは時々変更していると、万一の漏洩被害を最小限に留められる。

【パスワードの安全評価】

Microsoftのパスワード チェッカー
 https://www.microsoft.com/japan/protect/yourself/password/checker.mspx
認術修行
 http://www.securityfriday.com/jp/product_3.html
パスワード自動作成
 http://strongpasswordgenerator.com/

{参考文献}
1.http://www.microsoft.com/japan/protect/yourself/password/create.mspx
2.http://pc.nikkeibp.co.jp/article/NPC/20070824/280332/
3.http://pc.nikkeibp.co.jp/article/news/20100225/1023193/

【パスワードの作成実習】

破られにくいパスワードと覚えやすいパスワードの二例について、森田式AKB48方式で実際作成してみる。(略) 

                                   以上

前に戻る