推測できる簡単なパスワードを利用しないようにしよう
パソコンにログインする等、インターネットのネットオークションやショッピングサイトを利用する際において、なりすましを防ぐための認証には、一般的にパスワードが利用されています。そのため、コンピュータやインターネットを利用する上では、どのようなパスワードを使用するかということが、とても重要なことであると言えます。
パスワードの適切な管理(安全なパスワードの作成、保管、更新)はパソコンやサーバを安全に利用するためには欠かせません。自分のパスワードの管理について再度確認をしてください。
パスワードの適切な管理には、以下の3つの要素があります。
安全なパスワードの設定
安全なパスワードとは、他人に推測されにくく、ツールなどで割り出しにくいものを言います。
理想的には、最低でも10文字以上の文字数で構成されるある程度長いランダムな英数字の並びとし、パスワード内に数字や記号、アルファベット(大文字、小文字)が混ざっていることが好ましいですが、覚えなければならないパスワードの場合は、無関係な(文章にならない)複数の英単語をつなげたり、その間に数字列を挟んだりしたものであれば、推測されにくく、覚えやすいパスワードを作ることができます。
近年では、スマートフォンやWebブラウザの標準機能として、パスワード生成機能があるものもありますので、そういったものをうまく活用しましょう。
逆に、危険なパスワードとしては、以下のようなものがあります。このような危険なパスワードが使われていないかどうか、チェックをするようにしましょう。
- IDと同じ文字列
- 自分や家族の名前、電話番号、生年月日
- yamada、tanaka、taro、hanako(名前)
- 09011112222(電話番号)
- 19960628、h020315(生年月日)
- tokyo、kasumigaseki(住所)
- 3470、1297(車のナンバー)
- 辞書に載っているような一般的な英単語ひとつだけ
- password、baseball、soccer、monkey、dragon
- 同じ文字の繰り返しやわかりやすい並びの文字列
- aaaa、0000(同じ文字の組み合わせ)
- abcd、123456、200、abc123(安易な数字や英文字の並び)
- asdf、qwerty(キーボードの配列)
- 短すぎる文字列
- gf
- ps
この他、郵便番号、社員コード、他人に一度でも教えたことがあるパスワードなど、他人から類推しやすい情報やユーザIDと同じものなどは避けましょう。
パスワードの保管方法
せっかく安全なパスワードを設定しても、パスワードが他人に漏れてしまえば意味がありません。以下が、パスワードの保管に関して特に留意が必要です。
- パスワードは、同僚等の第三者に教えずに、秘密にすること
- パスワードを電子メールでやりとりしないこと
- パスワードのメモをディスプレイなど他人の目に触れる場所に貼ったりしないこと
- やむを得ずパスワードをメモなどで記載した場合は、鍵のかかる机や金庫など安全な方法で保管すること
パスワードを複数のサービスで使い回さない(定期的な変更は不要)
パスワードはできる限り、複数のサービスで使い回さないようにしましょう。サービスから流出したアカウント情報を使って、他のサービスへの不正ログインを試す攻撃の手口が知られています。もし重要情報を利用しているサービスで、他のサービスからの使い回しのパスワードを利用していた場合、他のサービスから何らかの原因でパスワードが漏洩してしまえば、第三者に重要情報にアクセスされてしまう可能性があります。
なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られる等のサービス側から流出した事実がない場合は、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。
コラム
多要素認証(2要素認証)を活用しよう
より安全性を高めた認証の方式として、多要素認証や二段階認証があります。
多要素認証は、通常のユーザ名とパスワードに加え、追加のセキュリティ要素を使用してアカウントへのアクセスを確認する方法です。多要素認証の要素には
- 「知っているもの(知識要素)(例)パスワードなど」
- 「持っているもの(所持要素)(例)スマホなど」
- 「本人自身に関するもの(生体要素)(例)指紋、静脈、顔、虹彩など」
があり、これらのうち2つ以上の要素を組み合わせて認証します。これは、より高度なセキュリティを提供することができ、不正アクセスやハッキングなどの脅威からアカウントを保護するのに役立ちます。