あなたのパスワードが危ない:5分で分かるパスワード
パスワードはサイバー攻撃に対する最初の防御手段としてそれなりに役立つ。安全なパスワードを設定するにはどうすればよいだろうか。
パスワードは自分や会社の情報を守るための最初の防衛線だ。パスワードだけでサイバー攻撃から逃れることはできないとはいえ、攻撃者から狙われにくいパスワードを選ぶべきだ。
多要素認証やパスキー、パスワード管理ツール、さらにはゼロトラストセキュリティなどを導入すればパスワードの弱点を保護できる。だが、まずは自分のパスワード自体を強化しよう。無償ですぐ実行でき、効果的だからだ。以下で取り上げる内容は従業員のリテラシーの底上げにも役立つ。社内システムの設計の際にも役立つだろう。
「5分で分かるパスワード連載」ではパスワードにまつわるさまざまな話題を取り上げる予定だ。第1回のテーマは「危険なパスワード」だ。
6種類の危険なパスワード
一口に危険なパスワードと言ってもさまざまな種類がある。以下では6つの危険なパスワードの種類を紹介する。順に見ていこう。
短いパスワード
まずは短いパスワードだ。システムによってパスワードの最低の長さや最長の長さが決まっている場合が多い。その場合、なるべく長いパスワードを選ぼう。なぜなら短いパスワードはあっという間に突破されてしまうからだ。
次の図はさまざまな長さのパスワードを力任せに突破(ブルートフォースアタック)するために必要な計算時間を示している。
パスワードの文字数ごとに時間を見ていくと、8文字の場合、数字だけを含むパスワードは1秒も掛からずに解読されてしまう。数字+英大文字+英小文字+記号という複雑なものでも7時間しか持たない。
さらに4文字追加して12文字にすると、数字だけなら25秒だが、最も複雑なパスワードであれば3万年も持つ。これなら安心だろう。
使われる頻度が高いパスワード
長いパスワードであっても利用者が多いパスワードは危険だ。次のリストはNordPassが調査した日本の企業で利用者が多いパスワードだ。
| 順位 | 文字列 |
|---|---|
| 1 | password |
| 2 | 12345678 |
| 3 | 123456789 |
| 4 | 1qaz2wsx |
| 5 | asdfghjk |
| 6 | nyanmage |
| 7 | aa123456 |
| 8 | 1234567890 |
| 9 | 12qwaszx |
| 10 | asdf1234 |
| 11 | 1q2w3e4r |
| 12 | 11111111 |
| 13 | 123456 |
| 14 | q123456789 |
| 15 | asdfghjkl |
| 16 | qwer1234 |
| 17 | qwertyui |
| 18 | himawari |
| 19 | abcd1234 |
| 20 | takahiro |
単純な数字「12345678」やキーボードのキーの位置を使ったもの「1qaz2wsx」が目立つ。このようなパスワードを使ってはいけない。「1234567890qwertyuiop」のように文字数を増やしたとしても駄目だ。パスワードには国ごとの偏りがあり、日本では「nyanmage」や「himawari」「takahiro」が特徴的だ。
ここに挙がっているパスワードは絶対に使ってはいけない。このリストの情報は攻撃者にも広く知られているからだ。
危ない4桁の数字パスワードとは
4桁の数字のパスワードを求めるサービスは少なくない。4桁の数字にもパスワードと同じ問題がある。使われる頻度が多いものと少ないものに偏りがあり、頻度が高いものは危険性が高い。
次の図は流出した3200万件の4桁の数字のパスワードをケンブリッジ大学の研究者が分析した結果だ。図中のX軸が最初の2桁、Y軸が後ろの2桁を表す。
4桁の数字パスワードの頻度 出典(A birthday present every eleven wallets? The security of customer-chosen banking PINs)
この図では頻度が高いものを濃い青で、少ない部分を薄い青で示している。頻度の対数を取って表示しているため、色が濃いものは非常に危険だと言える。
最も多かったのが「1234」(全体の3.7%)で最も少なかったのは「8439」(0.0006%)だった。つまり強い偏りがある。
図を見ると最初の文字が「19」と「20」のものは色が濃く、頻度が高い。これは「1995」や「2002」などのように生まれた年を選んでいるからだろう。X軸、Y軸とも31までのものが濃くなっている(さらに13〜31は少し薄い)のは誕生日を選んでいるためだ。対角線が濃くなっているのは「2727」のような繰り返しを選ぶユーザーが多いことを示す。「1234」や「4321」の色も濃い。
自分だけのパスワードだと考えていたとしても、このような数字を選んではいけない。4桁の数字を選ぶならこの図で色が薄い部分のものにしよう。
意味のあるパスワード
意味のあるパスワードも危険だ。英単語やローマ字表記の日本語だったり、固有名詞を含むパスワードを選んではいけない。攻撃者は単語のリストを持っており、それを攻撃に使うからだ。
ただし、複数の関連性のない単語をつないだ文字列の危険性は下がる。例えば「giraffe-octopus」(キリン+タコ)のようなパスワードだ。
自分の属性に近いパスワード
個人の属性はSNSなどで容易に収集できる。例えば第一営業部に所属していて、パスワードに「ichiei」を選ぶとしよう。このような偏りは攻撃者にもすぐ分かってしまう。自分の名前+誕生日のようなパスワードは最悪だ。
デフォルトのパスワード
ルーターなどのハードウェアはもちろん、ある種のサービスにはデフォルトパスワードが設定されている。デフォルトパスワードの情報は公開されており、攻撃者はそのような情報を収集している。デフォルトパスワードのまま使い続けてはいけない。
使い回したパスワード
サービスAで使っているパスワードをサービスBで使ってはいけない。なぜならパスワードは高い確率で漏えいするからだ。2014〜2018年、大規模ホテルチェーンMarriott Internationalは持続的なサイバー攻撃を受けた。この攻撃では3億人以上のアカウント情報に不正アクセスがあった。これは米国の全人口とほぼ同じ規模だ。
このような攻撃で漏えいしたパスワードはダークWebなどで販売され、攻撃者の武器になる。サービスAで漏えいしたパスワードをそのまま使って、サービスBに入力する単純な攻撃がある。サービスごとにパスワードを変えなければパスワードの意味がなくなってしまう。
使い回しにはあと2つのパターンがある。定期的にパスワードの変更が求められるサービスで、パスワードa、パスワードbを交互に使うやり方だ。これも良くない。パスワードが漏えいすることを考えると、これでは守ることができない。
最後のパターンは「password」「password01」「password02」……というパターンだ。これも攻撃者には通用しない。
次回以降もパスワードについて触れていく。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
ID/パスワードの管理が「悪化」 クラウドサービスは使われているのか
業務で利用するID/パスワード管理は煩雑になる一方だ。時間がたつにつれて管理対象が増えていくことはもちろん、働き方の変化にも応じなければならない。こういった問題を解決するためにクラウドの利用は有効なのだろうか。
パスワードが漏れ続ける中、パスキーの普及が進む 〜セキュリティ編〜
キーマンズネットの年末企画として、分野別記事閲覧ランキングを大公開。第1回は「サイバーセキュリティ」に焦点を当てて、人気記事トップ10を紹介します。
恐るべし、今どきの「パスワード破り」の手口:780th Lap
パスワードレス認証を採用するコンシューマー向けサービスが増えてきたが、まだパスワードから離れられないのが現状だ。ある調査から、最近の「パスワード破り」の手口が見えてきた。