多くのサービスにおいて、サービス利用者の安全を守り、情報漏えいや不正ログインを防ぐために大切なのがパスワードの設定です。しかし、パスワードによっては安全性が低く、かえってセキュリティを脆弱化させている可能性があります。インターネットの普及や近年のテレワーク促進により、さまざまな企業が情報漏えいや不正ログインの被害に遭うケースが増えています。[注1]
セキュリティ強化の第一歩が、安全なパスワード作りです。この記事では、安全なパスワードの作り方や、さらにセキュリティを強化するための「二要素認証」の仕組みをわかりやすく解説します。
目次
安全なパスワード作りの3つのコツ
スマートフォンやパソコンのセキュリティを強化するには、安全なパスワードを設定することが大切です。情報漏えいや不正ログインの被害に遭いづらい、安全なパスワード作りのコツを3つ紹介します。
「大文字」、「数字」、「記号」の3つを組み合わせる
安全なパスワードを作る基本は、「大文字」、「数字」、「記号」の3つを組み合わせることです。たとえば、「password」は安全性が低いですが、「pAsswoRd」と一部を大文字にすることで、より第三者に推測されづらくなります。また、アルファベットだけでなく、数字も交えてパスワードを設定しましょう。サービスによっては、英数字以外に記号(~、!、@、#、$、%、&、*など)も利用可能なケースがあります。アルファベットの大文字、小文字、数字、記号を組み合わせれば、よりセキュリティの高いパスワードになります。
英単語ではなく「日本語の単語」をパスワードに組み込む
サイバー攻撃の発信元は、日本国内ではなく海外が大半です。日本経済新聞社によると、日本に対するサイバー攻撃の発信元でもっとも多いのがロシア、次にスイス、アメリカ、オランダ、中国の順番で続いています。[注2]
そのため、パスワードにはなるべく英単語を使わず、日本語の単語を使うようにしましょう。ただし、Yamada、Tanaka、Taro、Hanakoといったよくある名前や、Tokyo、Kasumigasekiといった有名な地名を使うのは、推測されやすいためNGです。
[注2] 日本経済新聞社:日本を狙うサイバー攻撃 発信元は中国からオランダに
https://vdata.nikkei.com/newsgraphics/barchart-race-cyber-attack/
覚えやすい文章をつくり、頭文字をとってパスワードにする
セキュリティを高めることは重要ながら、パスワードの文字列によっては覚えづらく、ログイン時に不便だったり、再設定が必要になることがあります。そこで、 「自分だけに意味がわかり、覚えやすい」日本語の文章をつくり、その頭文字をとってパスワードを作る方法がおすすめです。パスワードが短くなりすぎると推測されやすいため、なるべく長い文字列になるよう工夫しましょう。
安全でないパスワードの6つの特徴
安全性の低いパスワードに共通しているのは、「第三者に推測されやすい」という特徴です。文字列が短かったり、同じ文字が連続しているパスワードは、悪意のある第三者に簡単に推測され、不正利用されてしまいます。また、パスワードの候補をリスト化し、上から順に攻撃を仕掛ける「リスト攻撃」の被害に遭いやすいのも特徴です。使ってはいけないパスワードランキングや、安全でないパスワードの6つの特徴を紹介します。
【国内】使ってはいけないパスワードランキング
まず、株式会社ソリトンシステムズが3,489,154種類のパスワードを対象に行なった調査に基づき、2020年に日本国内でもっとも使われたパスワード上位20を紹介します。[注3]
1位:123456
2位:password
3位:asdfghjk
4位:12345678
5位:123456789
6位:asdasd456
7位:111111
8位:1qaz2wsx
9位:19980621
10位:123123
11位:jza90supra
12位:sakura
13位:aaaaaa
14位:20121204
15位:20121207
16位:asdf1234
17位:zxcvbnm
18位:asdfghjkl
19位:qwertyuiop
20位:1234567890
[注3] 株式会社ソリトンシステムズ:日本人の パスワードランキング2020
https://static1.squarespace.com/static/5ed3be83912a495e0dce24c1/t/608b8d3596e9de56fb1ef1be/1619758402131/Whitepaper_CSA-JP-210104.pdf
セキュリティが脆弱なパスワードの6つの特徴
上記のランキングからわかるように、セキュリティが脆弱なパスワードには6つの特徴が見られます。
- パスワードの文字列が短い
123456、sakura、aaaaaaなど
- 同じ英数字が連続している
111111、aaaaaaなど
- 数字もしくはアルファベットしか使われていない
123456、passwordなど
- キーボードのキー配列になっている
asdfghjk、1qaz2wsx、zxcvbnm、qwertyuiopなど
- 単純な単語やわかりやすい単語をパスワードにしている
password、sakura、jza90supra(トヨタの車種)など
- 誕生日などの日付をパスワードにしている
20121204、20121207など
また、複数のサービスで同じパスワードを使いまわさないことも大切です。かつて、パスワードの定期的な変更が推奨された時代もありましたが、総務省の見解の通り、アカウントの乗っ取りやパスワードの流出が確認されない限り、定期的にパスワードを変更する必要性はありません。[注4]
[注4] 総務省:設定と管理のあり方
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/privacy/01-2.html
セキュリティ強化には「二要素認証」を!安全で強固な認証サービス3つ
さらにセキュリティを強化するには、パスワードの文字列を強固なものにするだけでなく、「二要素認証」の仕組みを導入することが大切です。二要素認証は、二段階に分けてログインを行う「二段階認証」とは異なり、複数の認証要素を組み合わせることで、よりログイン認証の安全性を高められます。二要素認証におすすめな認証サービスは次の3つです。
利用方法 | |
ワンタイムパスワードを使った二要素認証 | 通常のIDやパスワードに加えて、専用のトークン(パスワード生成ツール)に一回きりのパスワードを送信し、安全に認証を行う |
電子証明書を使った二要素認証 | マイナンバーカードなどに格納された電子証明書を利用し、スマートフォンや専用のICリーダーで読み取りを行うことで、安全に認証を行う |
スマートフォンや携帯電話を使った二要素認証 | 本人の所有するスマートフォンや携帯電話を利用し、安全に認証を行う SMS(ショートメッセージサービス)に認証コードを送る方法は「SMS認証」、スマートフォンや携帯電話から特定の電話番号に発番することで認証を行う方法は「着信電話認証」と呼ばれる |
現在はスマートフォンや携帯電話の普及率が増加していることや、ユーザー側の認証の手間がかからないことから、従来のIDやパスワードと「SMS認証」や「着信電話認証」を使った二要素認証を導入するケースが増えています。サービス利用者の安全を守り、情報漏えいや不正ログインを防ぐためにも、認証サービスの強化は重要です。
▶︎ 「二要素認証」と「二段階認証」の違いや導入メリット・種類を詳しく紹介
【まとめ】
パスワードのセキュリティ強化なら、二要素認証の導入を!
文字列が短かったり、同じ文字が連続しているパスワードは、安全性が低く要注意です。大文字・数字・記号の3つを組み合わせたり、日本語の単語をパスワードに組み込んだり、自分だけに分かる覚えやすい文章の頭文字をパスワードにするなどの工夫により、パスワードの安全性を高められます。さらに認証サービスのセキュリティを強化したい場合は、「二要素認証」の仕組みを導入しましょう。たとえば、SMS認証や着信電話認証なら、ユーザーに負担をかけず、情報漏えいや不正ログインを防止できます。
▶︎ 「i-dentify(SMS認証)」でセキュリテイ強化
▶︎ 「i-dentify(着信電話認証)」でセキュリテイ強化