複雑なパスワードより、とにかく長いパスフレーズを!

FBI(アメリカ連邦捜査局)は2月18日、パスワードは複雑さよりも長さが重要であるとして、長いパスワードを設定するように呼びかけるプレスリリースを配信しました。

望ましいパスワードとは?

かつては、パスワードに大文字・小文字・数字・記号を含めるなど、できる限り複雑で覚えにくいパスワードを設定するのが好ましいとされてきました。

しかし現在では、複数の単語を組み合わせた15文字以上の長いパスワードが推奨されています。例えば「VoicesProtected2020WeAre」など24文字にも上るような長さが望ましいと考えられているようです。ちなみに、これらはword(単語)の枠を超えているということで、phrase(句)に例えられて「パスフレーズ」とも呼ばれます。

使用するフレーズは推測されにくいよう、有名なフレーズや歌詞などは避ける必要があります。より強力なパスワードを作成するために、「DirectorMonthLearnTruck」などと無関係な単語を組み合わせることも推奨されます。

呼びかけの根拠

FBIが呼びかけの根拠として挙げられているのは、2017年12月にNIST(アメリカ国立標準技術研究所)がまとめた「デジタル認証のガイドライン」(NIST 800-63B)です。

長いパスワードが推奨される理由として、総当たり攻撃への対策という点が挙げられます。総当たり攻撃では、パスワードが長ければ長いほどパターン数が増えるため、突破に時間がかかります。
アメリカのある企業の調査によると、ハッキングツールを使用してパスワードを解読するまでに必要な時間は、7文字のパスワードではわずか5時間、12文字のパスワードでは200年かかる計算になるとのことです。なお、これは2015年時点でのデータであり、年々向上するマシンの処理速度に対応するためには、さらに長いパスワードが必要になると考えられます。

パスワード管理ツールの使用

パスワード管理ツールを使用すると、各サービスのアカウントに設定しているパスワードを1か所で管理することができます。
ツールにログインするパスワードを1つだけ覚えておけば、実際に各サービスのログインに使用するパスワードは覚えなくても済むようになります。そのため、ランダムな英数記号を128文字並べるなど、簡単には記憶できない超強力なパスワードを設定することも可能になります。全てのサービスにランダムなパスワードを設定することで、パスワードの使い回し防止にもつながります。

パスワード管理ツールの欠点として、ツールにログインするパスワードが解読されてしまうと、全アカウントの全パスワードが流出するリスクが挙げられます。しかしIT専門家の多くは、パスワード管理ツールにはこのリスクを上回る大きなメリットがあると考えています。もちろん、ツールにログインするパスワードには、複数の単語を組み合わせるなど強力なパスフレーズを設定することが必須となります。

まとめ

長いパスワードを考えるのは面倒にも思えるかもしれませんが、「TokyoNagoyaOsakaFukuoka」(23文字)、「MaguroNegitoroIkuraUni」(22文字)のように、思いついた日本語をローマ字にするだけでも十分な長さになります。(当然ながら、ここで例示したパスワードをそのまま採用するのは避けましょう)
パスワードの使い回しを避け、各サービスごとに覚えやすく長いパスワードを設定することで、セキュリティリスクの軽減が可能です。

一方、サービス側でパスワードの文字数制限が設定されている事例も見受けられます。覚えやすく一意な長いパスワードを各利用者が使用しやすくなるように、サービス提供者側の対応が進んでいくことを願います。

参考サイト

STOP! パスワード使い回し!キャンペーン2019 (一般社団法人 JPCERTコーディネーションセンター)
http://www.jpcert.or.jp/pr/stop-password.html

 

参考サイト:
https://www.fbi.gov/contact-us/field-offices/portland/news/press-releases/oregon-fbi-tech-tuesday-building-a-digital-defense-with-passwords
https://www.us-cert.gov/ncas/tips/ST04-002
https://www.betterbuys.com/estimating-password-cracking-times/

※本記事は掲載時点の情報であり、最新の情報とは異なる場合があります。予めご了承ください。