(※この記事は、2023年11月15日に更新されました。)
皆さんは、普段使う仕事用や個人のパスワードがどれくらい安全なのか気になったことはありますか。
サイバー攻撃を受けることがないような強力なパスワードであれば問題ないのですが、そうでない場合は、パスワードを解読されてサイバー攻撃に遭い、職場に多大な損害をもたらしたり、個人情報が不特定多数の人たちに晒されてしまう可能性があります。
そこで本記事で、パスワードの強度について、どのようなパスワードが「強力」なのか、またそれをどのように作るべきなのかをを見てみましょう。
「強力な」パスワードとは?
そもそも、「強力な」パスワードというのはどういうものなのでしょうか。
ここで言う「強力」とは、「安全」ということであり、総務省の HP によると、以下のように定義されています。
安全なパスワードとは、他人に推測されにくく、ツールなどで割り出しにくいものを言います。
-
名前などの個人情報からは推測できないこと
-
英単語などをそのまま使用していないこと
-
アルファベットと数字が混在していること
-
適切な長さの文字列であること
-
類推しやすい並び方やその安易な組合せにしないこと
パスワードの文字数
一般的には、12桁以上が安全だと言われていますが、例えば覚えやすいパスワードにしようとして、「111」や「QWE(キーボードの並び順)」などにすると、いくら12桁以上だとしても推測されやすくなり、強力なパスワードであるとは言えなくなります。
また、覚えやすいからと言ってペットの名前や生年月日などにするのも、パスワードの文字数に関係なく、すぐに解読されてしまう可能性があります。
パスワード作成のポイント
では、どのようにパスワードを作ればいいのでしょうか。以下でパスワード作成のポイントを見てみましょう。
アルファベットと数字と記号を組み合わせる
12桁以上というと、人の名前や生年月日の組み合わせを考えたりする人もいるかもしれません。
「文字と数字を組み合わせる」という考え方としてはいいと思いますが、単純にそれをそのまま組み合わせてしまうと、すぐに解読されてしまいます。
なので、アルファベットと数字の間に記号を入れるなど、より複雑なパスワードを考える必要があります。
単純な並びにしない
パスワードを考えるのが面倒くさくて「123456」や「qwerty(キーボードの並び順)」、「111111」や「aaaaaa」などにする人もいますが、このような単純な並びにすると、いくら桁数が多くても「強力なパスワード」にはなりません。
ハッカーは皆さんが思っているよりもずっと多くの情報や技術をもっているので、このようなパスワードだとすぐに解読されてしまいます。
なので、数字やアルファベットの並びは、何の規則性もないランダムな並びにする方が、より複雑で強力なパスワードになります。
身近なものをパスワードにしない
先にも述べましたが、12桁のパスワードとなると、覚えやすいものがいいと思う人かもしれません。
そうなると、例えば飼っているペットの名前や住んでいる町の名前など、身近なものを使って覚えやすいパスワードを作ろうとする人もいるでしょう。
ただそうなると、やはりすぐに解読されてしまう可能性があります。
ハッカーは、あなたの SNS の投稿やプロフィールから誕生日や電話番号など様々な個人情報を手に入れている可能性があるので、身近なものをパスワードに使うのは安全とは言えないのです。
では上の3つを踏まえて、どのようにパスワードを作れば良いのでしょうか。
自分で作るとなると、自分では複雑に作ったつもりでも、やはり生身の人間が思いつくパスワードの強度には限界があります。
そこで、パスワード生成機を使えば、皆さんは何も考えることなく、複雑で強力なパスワードがサッとできます。
皆さんの代わりに、複雑な並びのアルファベットと数字と記号が入った12桁以上のパスワードを作ってくれるのです。
パスフレーズとは
上記のポイントに加えて、パスワード生成でよく使われるテクニックに、「パスフレーズ」というのがあります。
これは、「Pa$$w0rd(Password)など、ある単語のスペルの一部をアルファベットに見立てた数字や記号に替えてパスワードを作るテクニックのことをいいます。
「アルファベット」と「数字」と「記号」の組み合わせというのはいい考えですが、一見強力に見えても、上の例のように「S」を「$」、「o(小文字のO)」を「0(ゼロ)」などは予測しやすいので、解読されにくいパスフレーズを作らないといけなくなります。
そうすると、パスフレーズを一つ作るのに時間と労力がかかるかもしれません。
それだとやはりパスワード生成機を使った方が、時間と労力の節約になる上に安全性も保証されます。
現在使っているパスワードの強度を確認する方法
ここまでで、今お使いのパスワードを全部作り直さないといけないのかと心配している方もいるかも知れませんね。
でも、今お使いのパスワードが強力であれば作り直す必要はありません。
では、その「強度」はどのようにして調べればいいのでしょうか。
ここでパスワードの安全性を確認できるパスワード強度チェッカーをご紹介します。
TeamPassword にはパスワード生成機能だけでなく、作ったパスワードの安全性を確認するために、パスワードの強度を調べる機能もあります。
では、実際にパスワードの強度をTeamPasswordのパスワード強度テストを使っていくつか検証してみましょう。
例1.連続した5桁の数字
「12345」というパスワードをパスワードチェッカーに入力してみると、なんと1秒足らずで解読されてしまうという結果が出ました。
絶対に使ってはいけないパスワードです。
このようなパスワードを使用している場合は、今すぐパスワードを変更することをおすすめします。
例2.パスフレーズ
「Welcome」を「We!c0me(「!」と「0(ゼロ)」に替える)」にしたパスフレーズを作成してみましたが、これでも強度はとても弱く、6時間あれば解読されてしまうという結果が出ました。
例3.パスワード生成機で作ったパスワード
TeamPassword のパスワード生成機を使うと、大文字、小文字、数字、記号を含む12~32文字のパスワードをワンクリックで作成することができます。
◯桁以上や記号は使用不可など、パスワードの要件に合わせて生成するパスワードの条件を選択することも可能です。
今回は、大文字・小文字・数字・記号を含む12桁のパスワードという条件で生成しました。
パスワード生成機で作成されたパスワードは非常に強力で、解読に100年もかかる(不可能に近い)という結果になりました。
これでようやく安全なパスワードを作成できたといえるでしょう。
TeamPassword を使ってみよう
パスワード生成は、自分で全部するとなると大変かもしれませんが、TeamPassword のようなパスワードマネージャーにあるパスワード生成機を使えば、強力なパスワードがワンクリックで生成可能です。
さらにTeamPassword だと、そのパスワードの保存や共有も安全です。
例えば、TeamPasswordでは、セキュリティに配慮して、全ユーザーはプランの規模に関係なく、 Google の SSO(シングルサインオン)を利用できます。
Google の SSO で、ユーザーのアクセスコントロールは強化され、オンボーディングとオフボーディングもより簡単かつ安全になります。
また、パスワードをグループで共有する場合、TeamPassword だと、チームメンバーの一部、全体、あるいは外部の関係者と、パスワードを簡単に共有でき、新しく入ったメンバーの追加や、グループでアクセスの必要がなくなったメンバーの削除もワンクリックであっという間にできます。
TeamPassword で強力なパスワードを作って、オンラインアカウントの安全性を確保しましょう。こちらからぜひ14日間の無料トライアルをお試しください。
おすすめ記事:パスワード管理帳に潜む危険
おすすめ記事:最もよくあるパスワード攻撃5選
