パスワードの作り方2024(375号)
「がんばりすぎないセキュリティ」では毎年のようにパスワード管理についてお話をしています。
と言いながら、前回の記事が2022年5月でしたので、2年半ほど経ってしまっています。
その間にもいろいろと変化がありましたので、今回はアップデート版として、パスワードの作り方2024をお送りします。
パスワードのトレンドは変わる
パスワードは単純なものより複雑な方がいいに決まっています。
ですが、その複雑さの定義が微妙に変わっていることはご存知でしょうか?
しばらく前(10年くらい前かな)は以下がトレンドでした。
・IDと同じ文字列や電話番号などの情報を含まない
・辞書に載ってる単語(1単語)はダメ
・英小文字、英大文字、数字、記号を混ぜる
・短くても8文字以上
・パスワードの使い回しはしないことが望ましい
・パスワードは定期的に変更すべき
ところが、この常識がここ数年で大きく変わってきています。
・IDと同じ文字列や電話番号などの情報を含まない
→これは今も変わらず
・辞書に載ってる単語(1単語)はダメ
→これも変わらず
・英小文字、英大文字、数字、記号を混ぜる
→英小文字だけでも長い(20文字以上など)の方がいい
・短くても8文字以上
→短かくても10文字以上。15文字以上ならなお可。
・パスワードの使い回しはしないことが望ましい
→パスワードの使い回しは禁止
・パスワードは定期的に変更すべき
→変更の強要はすべきでない。(自主的な変更はWelcome)
いかがでしょうか。変わっていない点もありますが、意外に変わっていますよね。
最後の「定期的な変更」は誤解されやすいので補足しておきます。
ここで「すべきでない」とするのは変更の強要、つまり「90日経ったからパスワードを変更しなさい」と運用側に変更させられるケースです。自主的なパスワード変更を否定しているわけではありません。
強制されると「忘れない」ための自衛をするのは自然な話です。
結果、末尾に"1"や"2"を付けたり、月度を付けるといった、今までのパスワードのバリエーションになり、パスワード強度はほとんど上がりません。
それどころか、攻撃側は「ココは定期的なパスワード変更を要求している」とわかれば、パスワードの末尾はきっと1とか2とかの数字だろう?といった余計なヒントを与えることになりかねません。
だから、パスワードの定期変更を強制することは止めよう、という流れに変わってきています。もちろん「パスワードをそろそろ変えとくか」といった自主的な変更はOKです。とても良いコトですので、ドンドンやってください。
パスワードの使い回しがダメな理由
もう一つ、大きなトレンドの変化が、パスワードの使い回しをやめようという流れになってきた点です。
「パスワードの使いまわし」とは、複数のサービスに同じパスワードでログインできるようにすることを示します。
パスワードがサービス毎に違っていれば、犯罪者側も各サービスのIDとパスワードのセットを入手しなければなりません。
ですが、同じIDとパスワードを使い回していると、1つのIDとパスワードのセットを入手するだけで、たくさんのサービスにログインが行えます。
犯罪者側(ハッカー側)にとっては、数少ないIDとパスワードで多くの利益を稼げるわけですから見逃すはずがありませせん。
また、犯罪者側にもコンピュータエンジニアは数多くいます。
彼らにとって、同じIDとパスワードで多数のサービスにログインを試し、うまく入れれば、送金や商品購入するといった一連の流れを自動化するのはお手のものです。
これによって、被害を受けた場合を考えてみてください。
被害のあった全てのサービスに被害認定をしてもらい、支払いの取消や保障の交渉が必要です。もちろん被害認定されないかもしれません。
その作業量もさることながら、精神的なストレスは並たいていではありません。
要はパスワードを使い回している人は、とてつもないリスクを自ら抱え込んでいるということです。
パスワードを個別設定するのは大変で面倒な話ですが、それでも、被害を受けた時のことを考えますと、同じパスワードを使い回すことはあまりにリスキーです。
いくら本人が厳重にパスワード管理をして、フィッシング詐欺にひっかからないとしてもサービス提供側で漏洩事故があれば、被害は免れません。
ですからパスワードの使い回しは早急に停止すべきなのです。
私のID/パスワードは洩れていないだろうか?
ここまで読んで「もしかして私のID/パスワードは既に洩れてないのか?」と不安に思われる方もおられるでしょう。
幸いなことに、漏洩したID/パスワードを収集し公開してくれているサイトがあります。
Have I been pwned?(私のパスワード洩れてる?)
https://haveibeenpwned.com
このサイトでは過去にダークウェブ(犯罪者達がアングラ情報をやりとするサイト)で販売されていたID/パスワードのデータを購入し、それをデータベース化して、検索できるように整備してくれています。
使い方はごくシンプルです。
ご自身のメールアドレスを入力すると、それがデータベースにあるかどうかを教えてくれます。
もし、データベースに存在すれば、"Oh no - pwned! (漏洩しています)"と表示され、データベースになければ、"Good news - no pwnage found! (漏洩していません)" と表示されます。
万一、pwned! と表示され、パスワードの使い回しをしているのであれば、今スグ、パスワード変更を行ってください。
今からできること
「パスワードの使い回しがダメなのはわかった。でも今から全部を変えるなんてムリ!」っていうのが一般的だと思います。
これに対する特効薬は残念ながらありません。
基本的には地道にパスワードを変更して回るしかありません。
が、闇雲にやろうとしても、先に心が折れてしまいます。
なので、より重要度の高いサービスから優先的に取り組みましょう。
最優先は、金融機関などのドデカい被害を受ける可能性のあるサービスのパスワード変更です。
他には、SNSやAppleIDなどの乗っ取られた場合の回復が大変なもの、カード利用できるような通販やコンテンツ販売サービス、などを優先的に対応すべきです。
そもそも登録したことすら忘れているサービスもたくさんあると思いますが、そこまで不安にならなくても良いかと筆者は思います。
まずは、わかっている(=現在も使っている)サービスへの不正ログインを防ぐことに注力しましょう。
パスワードの作り方
と、やっと今回のお題に辿り着きました。
「さぞかし素晴らしい作成技法を伝授してもらえるのだろう」と期待されている方。
せっかくの希望を打ち砕くようですが、今回はパスワードの作り方については書いていません。
というのは、自力でパスワードを作って管理することが難しくなってきていると感じるからです。
なので、筆者のオススメは「ブラウザのパスワード管理機能を活用する」ことです。
最近のchrome、safari、firefoxなどはとても賢くて、サイトに合わせて適切なパスワードを提示してくれます。これを利用すれば、何も考えなくても大半のサービスのパスワードを自動生成してくれます。
まず、このブラウザのパスワード管理機能の活用を考えましょう。
確かに、ブラウザのパスワード管理機能では、パソコンとスマホで共用しづらいなど課題はありますが、それでもリスクを極小化するには、これが2024年時点ではベストだと思います。
筆者が今になってパスワード管理機能の利用をオススメするのは、これが最強のフィッシング対策であるためです。
自動入力は最強のフィッシング対策
フィッシング詐欺を行おうとする側は、ニセモノのサイトを準備します。
当然ながら、これはホンモノのサイトとは別の場所にある別のサーバです。
で、フィッシングメールにはニセのサイトへの誘導リンクが書いてあります。
これをクリックすると、当然ニセのサイトを訪問します。
パスワード管理機能はURL(https://で始まるアクセス先文字列)を見て、どのID/パスワードを画面表示しようかと考えます。
ですが、ニセのサイトはホンモノとは違った場所(URL)にあります。
パスワード管理機能は「ああ、知らないURLだ。ID/パスワードの自動入力はしなくていい」と判断します。
結果、ニセのサイトに誘動されても、IDとパスワードが入力されません。
ここで、「あれ?なんで入力されないの???...あ、そうかこれはニセサイトなんだ」と気付くことができるわけです。
つまり、パスワード管理機能がフィッシング詐欺から皆さんを守ってくれます。
これが筆者がパスワード管理機能をオススメする大きな理由です。
まとめ
パスワードのトレンドというのは時代に応じて変化してきています。
例えば、しばらく前には「パスワードの定期変更」が推奨されていましたが、その運用成果が芳しくなかったため、現在はその主張は下火になっています。
また、以前は記号を含むことが強いパスワードの条件でしたが、現在は英小文字だけでも20文字以上あれば十分に実用性があると言われています。
パスワードの作成を自力で行いたい方もおられるでしょうが、一般の方にはパスワード管理機能や1パスワードなどのパスワード管理アプリの利用を強くオススメします。
筆者はかなり頑固なパスワードの自力作成派で今も基本は手入力で運用していますが、かなりのリスクを抱えていることは事実で、今後はどこかであきらめざるを得ないかと考えはじめています。
今回はパスワードの作り方といいながら、パスワード管理機能の利用についてお話しました。
次回もお楽しみに。
(この記事は2024年10月に執筆しました)
このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html
弊社の窓口( info@egao-it.com ) にメールをお送りいただいてもOKです。