正しいパスワード生成と管理で不正ログインを防ぐ方法とお役立ちツール7選

Image

「破られにくいパスワード」とはどんなものかを、その逆に破られやすいパスワードがどうやって破られるのかという検証を含めて解説します。その上で強固なパスワードを作る考え方、パスワード生成をしてくれるツールのご紹介します。


さまざまなネットサービスやSNSなどを利用する上で、パスワードは悪意の第三者から情報や財産を守るとても大切な「鍵」です。パスワードが守るものの価値が高くなるにつれて、パスワードを狙う手法も続々と登場しています。

パスワードを破られてしまうと自分になりすました攻撃者の意のままになってしまうので、もしそれが自分の身にも起きたらと考えただけでもゾッとします。

パスワードを破られないようにするためのシンプルかつ有効な方法は、「複雑で破られにくいパスワード」を使用することです。では、破られにくいパスワードとはどんなパスワードでしょうか。そんなパスワードを生成する効率の良い方法はあるのでしょうか。

この記事では「破られにくいパスワード」とはどんなものかを、その逆に破られやすいパスワードがどうやって破られるのかという検証を含めて解説します。その上で強固なパスワードを作る考え方、パスワード生成をしてくれるツールのご紹介など、大切な情報と財産を守るためのパスワードに着目をしてみたいと思います。

1.複雑でセキュアなパスワードの重要性

1-1.パスワードを破られた被害事例

私たちが使用しているさまざまなサービスは、なりすましを防ぐためにパスワードによるセキュリティが施されています。FacebookやLINEなど多くの人が日常的に使用しているサービスももちろん、パスワードで保護されています。

パスワードを本人だけが使用しているうちは問題ありませんが、これを第三者とりわけ攻撃の意図を持った何者かに知られてしまうと、本人になりすまして不正にログインされてしまいます。

そこで攻撃者によってパスワードを変更されてしまったら、アカウントの乗っ取り被害に発展します。LINE乗っ取りによるプリペイドカード購入依頼やFacebook乗っ取りによる怪しげな広告の投稿などはいずれも、パスワードを破られてしまったことが原因です。

他にもTwitterやインスタグラムといったSNSでも同様の事例が起きており、今やこうしたサービスで使用しているパスワードを知られてしまうと大きな被害を被る恐れがあります。

【参考】

LINE乗っ取りの手口と被害に遭った時の対処法、被害に遭わない対策まとめ 

Twitter乗っ取りの有無を確認する方法と対策、今後の予防策 

Instagram(インスタグラム)を乗っ取られた時の復旧方法と予防策 

1-2.そのパスワード大丈夫ですか?

パスワードが破られた事例を見聞きした方の多くは、どこか他人事のように思われるのではないでしょうか。ご自身がパスワードを破られたことがないのであれば、なおさらでしょう。

しかし、パスワードが破られてしまったことによる被害は現実に発生しています。パスワードを覚えやすいように単純な文字列にしている、他のサービスと同じパスワードを使用しているといった場合は、パスワードを破られる危険が高いと言わざるを得ません。

こうしたパスワードの使い方をしている方にまだ被害が起きていないのは、たまたま狙われることがなかっただけなのかも知れません。

破られにくいパスワードとはどんなパスワードか、それを次項より解説していきます。

1-3.パスワードの強さと文字列の関係

パスワードの強さとは、「破られにくさ」のことです。それではどんなパスワードが強いのかといいますと、複雑で組み合わせの数が多い文字列であることが基本です。

例えば、数字のみ4桁のパスワードがあるとします。「0000」というだったとしたら、おそらく即座に破られてしまうでしょう。その理由はすべての組み合わせを試す際に最初に入力されやすい数字であること、そして4桁の数字なので0000から9999までの1万通りですべてのパスワードを試すことができてしまうからです。

これを5桁にすれば、それだけで10万通りになるので組み合わせ数は10倍です。6桁にすれば100万通りなので、文字数が多いほどパスワードが強くなることが分かります。

さらに、アルファベットの大文字と小文字を組み合わせたり記号を使うなど文字列を複雑にしていくことで組み合わせ数は飛躍的に多くなり、後述する総当たり攻撃の有効性がどんどん低くなります。

これをまとめると、文字数が多いこと、種類の異なる文字を織り交ぜていることが強いパスワードの基本です。
さらに、言葉として全く意味を持たないランダムな文字列であることも強いパスワードの要件なので、これについては次項で解説します。

1-4.破られやすいパスワードとは

強いパスワードの一方で、破られやすい「弱いパスワード」もあります。攻撃者の立場になって考えてみると、単純な文字列であることに加えて「その人が使いそうな文字列」であることも危険です。

以下は過去に弊社が調査した破られやすいパスワード一覧です。2014年のデータですが、この後も「ありがちなパスワード」はあまり変わっていません。このデータにある「ダメなパスワード」をご紹介すると、このようになります。

123456
password
12345
12345678
qwerty
123456789
1234
baseball
dragon
football
1234567
monkey
letmein
abc123
111111
mustang
access
shadow
master
michael
superman
696969
123123
batman
trustno1

上記25位までのありがちなパスワードに、お使いのパスワードはありませんか?全く同じではなくてもよく似たパスワードをお使いの場合はとても危険な状態にあるという認識を持ってください。

その他にも、その人の誕生日や名前(子供やペットの名前も含む)など、ソーシャルメディアで公開しているような情報から推測できるようなパスワードも攻撃者から標的にされてしまった時に破られやすいパスワードの筆頭格となります。

1-5.パスワード突破を狙うさまざまな攻撃

1-5-1.総当たり攻撃

別名「ブルートフォースアタック 」とも呼ばれる方法で、文字の組み合わせを1つずつ変えながら順に試していくことでいつかパスワードが正解になるのを狙います。

人間が1つずつ試していくと途方に暮れるほどの時間と手間が掛かるので現実味はありませんが、自動化された仕組みでコンピューターが行うと高速かつ効率も良いため、理論上はいつか必ず正解を当てられてしまうことになります。

1-5-2.辞書攻撃

総当たり攻撃(ブルートフォースアタック)は、機械的にパスワードに使われているであろう文字列を順に組み合わせていく方法です。いつかはパスワードに行き当たることは分かっているのですが、組み合わせの数は膨大なのでパスワードの桁数や構成によっては正解に行き当たるまでかなりの時間を要するでしょう。

そこで効率を良くするために人間の知恵が盛り込まれているのが辞書攻撃です。パスワードに使われていそうな文字列を辞書というスペースに記録した上で、それをもとに総当たりをしていく方法で、ある程度パスワードに使われている文字列の想像がつく場合ははるかに効率が良くなります。

「1-4.破られやすいパスワードとは」でご紹介したように、よく使われているパスワードの文字列が公開されているので、これを辞書に登録しておくのも有効でしょう。

1-5-3.類推攻撃

辞書攻撃はパスワードを破るために「使われていそうな文字列」を盛り込んだ方法です。それよりもさらに、パスワードを破りたいターゲットが決まっている場合はその人が使いそうな文字列を類推して試すのが類推攻撃です。よくあるのはその人の名前や誕生日、子供の名前、ペットの名前、出身校の名前などです。ターゲットが決まっている場合に有効な攻撃ということもあって攻撃者の意図もより明確なので、パスワードが破られた時の影響も甚大になります。

2.パスワード攻撃を実験してみた結果

2-1.PikaZipによるパスワード解析

ZIP圧縮ファイルにはパスワードを設定することができます。これによって第三者が不正にZIPファイルを取得したとしてもパスワードが分からなければ開くことができないので中の情報を守ることができます。

しかし、このパスワードは総当たりなどの攻撃で破られることがあります。パスワードを解析する無料ソフトも出ているので、それを使うと比較的簡単にパスワードを破ることができてしまいます。

ここでご紹介する「PikaZip」という無料ソフトは、ZIPファイルに設定されたパスワードを総当たりによって探し出すためのツールです。本来は自分のファイルでありながらパスワードを忘れてしまった場合の解析に使われるものですが、第三者がパスワードを破るために悪用するということもできてしまいます。

PikaZip

2-2.生成したパスワード別の解析結果

実際にPikaZipを使って、ZIPファイルに設定したパスワードを解析してみましょう。最初に数字だけで「7777」を設定、それを解析してみました。

スタートボタンをクリックした直後に解析が完了しました。速度の欄には「00:00:00」とありますが、本当にクリックした瞬間にパスワードが破られました。

次に、アルファベットと数字を組み合わせたパスワードを生成して試してみましょう。生成したパスワードは「abc123」です。

今度は、9秒かかりました。数字だけと単純に比較すると9倍以上の時間を要したことになります。

しかし、実はこの解析結果は本来の速度よりもかなり速くなるように設定をしました。その設定内容とパスワード強度との関係は次項で解説します。

2-3.この検証から得られた結論

単純な比較として、数字だけのパスワードよりもアルファベットと数字を組み合わせたパスワードの方がはるかに解析に時間を要しました。それだけパスワード強度が高いことを示しています。これに記号を加えると強度がさらに増します。複雑なパスワードを生成して使うことが推奨されているのは、このように解析が難しくなるからです。

もうひとつ、パスワード強度には重要なポイントがあります。それは「パスワードの構成を知られているかどうか」です。前項のPikaZipを使ったパスワード解析では設定したパスワードを知っていたので、解析の設定もそれに合わせました。

「abc123」というパスワードを解析する際には、6桁であることとアルファベット小文字と数字の組み合わせであることを知っていたので、以下のように設定をしてから解析をしました。


もしこの情報を知らなかったら、解析にはかなりの時間を要するでしょう。つまり、パスワードの構成を知られないこともパスワード強度を高めるポイントだということです。

3.複雑なパスワードはツールで生成しよう

3-1.パスワード生成ツールとは

強固なパスワードの基本は、桁数が多いことと文字列が複雑かつランダムであることです。人間の手でそれを作るのは意外に難しいので、ここで役立てたいのがパスワード生成ツールです。多くのパスワード生成ツールは無料で利用できるので、複雑で強固なパスワードを生成したい時に便利です。

3-2.無料でパスワード生成ができるツール3選

無料で今すぐ利用できるパスワード生成ツールを3つご紹介します。いずれもパスワードの桁数や使いたい文字列の種類などを設定して生成ボタンをクリックすると瞬時に理想的な強度のパスワードが生成、表示されます。

ノートン パスワードジェネレータ

LastPass

LUFTTOOLS パスワード生成ツール

4.まとめ

4-1.忘れやすい強固なパスワードは安全に保管できる

複雑で長いパスワードを強いといっても、ランダムな文字列を覚えるのは至難の業です。そのためそのパスワードを付箋などにメモしてモニタに貼ったりしては意味がないので、忘れがちなパスワードを保管する方法にも工夫が必要です。

そこで活用したいのが、パスワードを保管できるツール、アプリです。異なるパスワードを一括管理できて、暗号化した上で安全に保管することができます。それを管理するのはマスターパスワードと呼ばれる1つのパスワードなので、その1つであれば覚えやすくパスワード管理がとても安全かつ便利になります。

4-2.無料で使えるパスワード保存アプリ4選

無料で使えるパスワード管理アプリを4つご紹介します。いずれも知名度が高く、広く利用されているアプリです。

4-2-1.ノートン パスワード マネージャー

ノートンパスワードマネージャーは、安全にパスワードを保存して必要な時に呼び出せる機能を持つパスワード管理ツールです。パソコンのブラウザだけでなくAndroidやiOSのスマートフォンとも同期できるので、パスワードの一元管理もできます。

ユーザーはパスワードマネージャーにログインするためのパスワードを1つ記憶しておくだけでOKで、それ以外のサービスごとに異なるパスワードであってもユーザーが覚えておく必要はなく、パスワードマネージャーから呼び出してログインが可能です。


ノートン パスワード マネージャー
Android版アプリ
iOS版アプリ

4-2-2.1password

無料版はパスワード保管数が20個までで、有料版は無制限です。無料版で保存できるのは基本的にパスワードやちょっとしたメモ情報ですが、有料版だと銀行口座やパスポート、免許証などあらゆる個人情報を保管できます。

パスワード情報はクラウドで同期することができるので、異なるデバイス間でも同じログイン情報を利用できます。

1Password
Android版アプリ
iOS版アプリ

4-2-3.LastPass

1つのマスターパスワードで複数のパスワードを保管、管理できるアプリです。同じアカウントで利用するとパソコンやスマートフォンそれぞれで同じパスワードを利用可能になります。

無料版でもパスワード保存数が無制限なので、無料版の使い勝手が高いと言えます。

LastPass
Android版アプリ
iOS版アプリ

4-2-4.keeper

無料版でも無制限でパスワードを保管することができるアプリです。異なるデバイス間でパスワード情報を同期する場合や、データバックアップを利用するには有料版にする必要があります。

keeper
Android版アプリ
iOS版アプリ

5.まとめ

生成するパスワードと強度の関係、そして複雑で強固なパスワードを生成、管理する方法やツールについてもご紹介してきました。複数のサービスで同じパスワードを使っていたり、単純な文字列でしかないなど心当たりがおありの方は、まずはパスワード生成ツールを使って複雑なパスワードを生成、その生成されたパスワードに変更することから始めてください。

パスワードは破られてしまってからは手遅れになることも多いので、できることから始めてセキュリティを確保しましょう。

※記事内容の利用実施は、ご自身の責任のもとご判断いただくようお願い致します。

ノートンのロゴ
  • Norton
ノートンは、世界中の人々や家族がデジタル ライフでより安全に感じられるように支援します

編集者注記: 私たちの記事は、教育的な情報を提供します。 私たちの提供物は、私たちが書いているすべての種類の犯罪、詐欺、または脅威をカバーまたは保護するとは限りません. 私たちの目標は、サイバーセーフティに関する意識を高めることです。 登録またはセットアップ中に完全な条件を確認してください。 個人情報の盗難やサイバー犯罪をすべて防ぐことは誰にもできないことと、LifeLock がすべての企業のすべての取引を監視しているわけではないことを忘れないでください。 Norton および LifeLock ブランドは、Gen Digital Inc. の一部です。

Contents

    その他の情報

    ノートンのソーシャルアカウントをフォローして、最新ニュースやお得な情報をゲットしよう。