使いまわしてないのに、パスワードリスト攻撃対策の落とし穴：セキュリティ強化塾（2/4 ページ）

[キーマンズネット]

パスワードを推測されにくくする方法

　まずは不正ログインを防ぐための基本を確認しておこう。IPAが推奨している最低限のパスワード強化対策は、それを容易に推測されないようにすることだ。次のようなポイントの順守は必須の対策といえるだろう。

• 最低でも8文字以上の文字数で構成する
• パスワードの中に数字や「@」「%」「"」などの記号も混ぜる
• パスワード内のアルファベットに大文字と小文字の両方を入れる
• サービスごとに違うパスワードを設定する

　当然ながら「12345…」や「abcdef…」「qwerty…」のような簡単に見抜かれる組み合わせはもってのほか。「PassWord111」「Suzuki@home」のような意味のある単語や人名を使うのも好ましくない。

　とはいえ無意味な文字列や数字では覚えられない。そこでIPAが打ち出したのが「チョコっとプラスパスワード」だ。自分が覚えやすいパスワードにチョコっとだけ数字や記号を混ぜて、チョコっとだけ長くして、チョコっとだけサービスごとに変えるのだ。

　例えば「一期一会」を基に、覚えやすい語呂合わせで「15Ichie」のようなベースとなるパスワードを作る。これに利用するサービスごとにユニークな記号（例えば「-#1」など）を付け加えて「15Ichie-#1」とする。これで上記の全条件を満たし、かつ比較的簡単に覚えられる安全なパスワードができる。

パスワードを安全に管理する方法

　パスワードは必ずしもネットワーク上やサーバから窃取されるとは限らない。例えば、「情シス部門の者ですが、パスワードのメンテナンスをしているので今のパスワードを教えてください」などと電話やメールで尋ねる手口もある。いわゆるソーシャルエンジニアリングの手法だ。

　これを防ぐには、ユーザー側にリスクの認識とセキュリティ意識が必要だ。とはいえ「決して他人にパスワードを教えてはいけない」「見えるところに書き出してはいけない」程度のことなので、それほど難しくはないだろう。

　しかし、現在のように利用サービスが多岐にわたると、全てを記憶のみに頼ることは難しい。そこでパスワードをどこかに書き出す必要に迫られるが、問題となるのはそれが“何か”だ。

　紙に書く。簡単な方法だが紛失や盗み見られるなどリスクも高い。肌身離さず持っているような手帳であれば少し安全度も高まるが、サービス名とID／パスワードを1カ所にまとめていると危険だ。PCに暗号化文書として保存したり、スマホでも使えるパスワード管理ツールを活用する手もある。クラウド型のメモツールで一元管理する場合には、そのサービスのパスワードをしっかりと管理しなければならない。

　安全な管理を突き詰めるほど利便性は損なわれる。そこで勧めたいのは、利用するサービスごとにリスクを評価してメリハリを付けたパスワードの運用だ。例えば、ニュースサイトの会員パスワードなど万が一漏えいしてもそれほど被害が大きくないものは簡単なパスワードでも構わないだろう。一方で、オンラインバンキングやECサイトなど金銭に絡み、悪用されてしまうと自分の人生にダメージを負うようなものには最も複雑な構成のパスワードを使うべきだ。