2015年7月20日月曜日

パスワードの作り方とは 単純なパスワードを使うと、数秒で見破られ危険な目に!

インターネットのサービスで使うパスワード、これを悪用されると、自分が知らないうちに買い物をされたり、悪質な内容を発信されたり、とても危険です。


実は、パスワードを見破る攻撃があり、桁数の短いパスワード、例えば ”英字4桁のパスワードは約3秒” ”英字6桁のパスワードでも約37分” で簡単に見破られるそうです。


(注)この内容、下記の7年前の記事なので、今はもっと短時間に見破られそうですね。
    2008年10月2日 今一度、パスワードを点検しましょう! IPA
    http://www.ipa.go.jp/security/txt/2008/10outline.html#5



様々なサービスを利用する場合、”IDとパスワード”を入力しますが、通常IDはニックネームやメールアドレスがそのまま ID になっている場合が多く、パスワードが大事になります。

今回は、パスワードをどのように作成したらよいか、また、たくさんのパスワードを管理をどうしたらよいか考えてみたいと思います。

実は、過去のパスワード漏えい事件を見ると、およそ1%の人がパスワードに「123456」を使っていたという、危険な実態も報告されています。こんなパスワードでは、すぐに見破られ、パスワードの意味がありません。


なお、あまり複雑なパスワードにすると大変なので、パスワードを考えるときには次のようにしたらよいです。

 ”英字の小文字・大文字、数字を混合させ、8桁以上のパスワードを使う”



少し古い記事ですが、2010年3月に情報処理推進機構(IPA)では、下記のようにパスワードを大切に扱うよう注意をうながしています。

 2010年3月3日 「 ID とパスワードを適切に管理しましょう 」~ サイフと同じく大切に! ~
 http://www.ipa.go.jp/security/txt/2010/03outline.html


”IDとパスワード”は、サイフと同じように大切して、悪用されないよう、しっかり作成し管理しなければならないですね。



■ 何故、簡単なパスワードが危険か? パスワード総当たり攻撃とは


手当たり次第にパスワードを変化させて見破る「パスワード総当たり攻撃」というのがあります。

これは、パスワード解析ツールなどを使い、考えられるすべてのパターンをリストアップし片っ端から試し、パスワードを解読しようする試みのことです。

使える文字の種類や長さが増えると、組み合わせの数は増大し、見破られる可能性が低くなります。

そのため、パスワードを見破られないようにするためには、パスワードを複雑にする必要があります。



■ 良いパスワードとは、パスワードの作り方は?


良いパスワードとは見破られにくいパスワードを使うことですね。

なお、パスワードを作るときに、辞書に載っている単語などを使うと、すぐに見破られてしまうので危険ですね。以下を考えてパスワードを作ることが大事です。

 (1) 英字の小文字・大文字、数字を混合させ、8桁以上のパスワードを使う
 (2) パスワードには辞書に載っている単語を使わない

 (3) パスワードには自分の誕生日・名前などの個人情報を使わない

 (4) 会員ID(ログイン名)と同じ文字列をパスワードにすることは避ける。




■ パスワードの管理


パスワード管理には、(1) 紙のメモ、(2) 電子ファイル(パスワード付き) (3) パスワード管理ソフトを利用する  方法があります。

なお、パスワード管理ツールとして、インターネット・サービスを利用する方法がありますが、米の研究チームが、「LastPass」などの代表的なWeb版のパスワード管理ツールにも欠陥があると報告しています。詳しくは、下記のブログを参照下さい。

  「LastPass」などのパスワード管理ツールに潜む危険性
  http://lifesecurityup.blogspot.com/2014/09/blog-post_19.html



(1) 紙のメモ

IDとパスワードを記載したリストを紙のメモに保持します。IDとパスワードを別々の紙に分けて管理するとより安全です。

(2) 電子ファイル(パスワード付き)

IDとパスワードを記載したデータを「パスワード付きの電子ファイル」として保持します。

(3) パスワード管理ソフトを利用する

暗号化してパスワードを記録する「パスワード管理ソフト」を利用するのもよいです。私は、パスワード管理ソフト"KeePass Portable"を使っていますが、このソフトは人気で定評のあるフリーソフトです。



■ お勧めのパスワード管理ソフト「KeePass Portable」


USBにインストール可能なパスワード管理ソフトが「KeePass Portable」です。KeePassはオープンソースのパスワード管理ソフトです。

  ・ID / パスワードを強力に暗号化して保管
    (米国標準暗号であるAES(Advanced Encryption Standard)を利用)
    ・ID、パスワードの組み合わせの管理
    ・パスワードの自動生成
    ・ブラウザと連携して、パスワードの自動入力


KeePassは海外製のソフトですが、日本語ランゲージファイルにより日本語で利用することができます。

なお、”KeePass Portable(ポータブル)”はUSBでも持ち運びができるよう専用で作られているため、USBにID・パスワードを安全に保管したり(暗号化されているので万が一紛失しても漏れることはない)、Dropboxなどのクラウドストレージを用いることで、複数のデバイスで利用することも出来ます。

使い方は、”マスターパスワード”を使って、ID・パスワードを保管したデータベースを開き、登録した全てのログイン情報を参照でき、パスワード管理が非常に楽になります。

ログイン情報はカテゴリごとに分けて登録することができ、さらにはログインページのURL やコメント等も一緒に保存しておけるようになっています。



ダウンロードは以下のサイトから実施下さい。

 Downloads - KeePass
 http://keepass.info/download.html

  ”Classic Edition”のPortableが良いですね。

使い方は、以下が詳しいです。

 KeePass Password Safe のダウンロード・使い方 - フリーソフト100
 http://freesoft-100.com/security/keepass-password-safe.html




■ 簡単なパスワードは危険
■ ”桁数の短いパスワードは簡単に見破られる、英字4桁のパスワードは約3秒”


情報処理推進機構IPAの記事によれば、パスワード解析ツールを使用してパスワード解読時間(見破られる時間)を調べたところ、以下のように簡単に見破られるそうです。

英字4桁のパスワードは、あっという間 約3秒で見破られてしまいます。

 2008年10月2日 今一度、パスワードを点検しましょう! IPA
 http://www.ipa.go.jp/security/txt/2008/10outline.html#5


 桁数の短いパスワードは簡単に見破られる

   ①英字4桁のパスワードは約3秒

   ②英字6桁のパスワードは約37分

  (1) ”英字(大文字・小文字の区別無)”のパスワード解読時間(見破られる時間)
     4桁のパスワード・・・約3秒、  6桁のパスワード・・・約37分
     8桁のパスワード・・・約17日、 10桁のパスワード・・・約32年

  (2) ”英字(大文字・小文字の区別有)に数字を加えた”のパスワード解読時間

     4桁のパスワード・・・約2分、  6桁のパスワード・・・約5日
     8桁のパスワード・・・約50年  10桁のパスワード・・・約20万年


なお、上記のIPAの記事に下記の説明があります。

『英字(大文字、小文字区別有)と数字を組み合わせて8桁のパスワードを作成した場合、解読には最大で約50年(すべての組み合わせを試算した場合)かかります。このように、3種類(62文字数)で8桁のパスワードを作成すれば、パスワードの強度は十分と言えるでしょう。』(上記のIPAの記事より)