国民のための
サイバーセキュリティサイト
国民のための
サイバーセキュリティサイト
パソコンにログインする等、インターネットのネットオークションやショッピングサイトを利用する際において、なりすましを防ぐための認証には、一般的にパスワードが利用されています。そのため、コンピュータやインターネットを利用する上では、どのようなパスワードを使用するかということが、とても重要なことであると言えます。
パスワードの適切な管理(安全なパスワードの作成、保管、更新)はパソコンやサーバを安全に利用するためには欠かせません。自分のパスワードの管理について再度確認をしてください。
パスワードの適切な管理には、以下の3つの要素があります。
安全なパスワードとは、他人に推測されにくく、ツールなどで割り出しにくいものを言います。
理想的には、最低でも10文字以上の文字数で構成されるある程度長いランダムな英数字の並びとし、パスワード内に数字や記号、アルファベット(大文字、小文字)が混ざっていることが好ましいですが、覚えなければならないパスワードの場合は、無関係な(文章にならない)複数の英単語をつなげたり、その間に数字列を挟んだりしたものであれば、推測されにくく、覚えやすいパスワードを作ることができます。
近年では、スマートフォンやWebブラウザの標準機能として、パスワード生成機能があるものもありますので、そういったものをうまく活用しましょう。
逆に、危険なパスワードとしては、以下のようなものがあります。このような危険なパスワードが使われていないかどうか、チェックをするようにしましょう。
この他、郵便番号、社員コード、他人に一度でも教えたことがあるパスワードなど、他人から類推しやすい情報やユーザIDと同じものなどは避けましょう。
せっかく安全なパスワードを設定しても、パスワードが他人に漏れてしまえば意味がありません。以下が、パスワードの保管に関して特に留意が必要です。
なお、各サービスで異なる充分に安全なパスワードを覚えておくのは大変なので、パスワードを覚える必要のない、パスワード管理ツールを使うことも推奨されます。スマートフォンやWebブラウザ標準機能、あるいは専用のアプリケーションのパスワード保存機能を活用しましょう。
これらのツールやサービスは、マスターパスワード(覚えられる充分に安全なもの)や、利用デバイス(スマートフォンなど)のロック(生体認証など)で守る必要があります。
パスワードはできる限り、複数のサービスで使い回さないようにしましょう。サービスから流出したアカウント情報を使って、他のサービスへの不正ログインを試す攻撃の手口が知られています。もし重要情報を利用しているサービスで、他のサービスからの使い回しのパスワードを利用していた場合、他のサービスから何らかの原因でパスワードが漏洩してしまえば、第三者に重要情報にアクセスされてしまう可能性があります。
なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られる等のサービス側から流出した事実がない場合は、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。
これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです※1。また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています※2。
IPA 独立行政法人情報処理推進機構にてパスワードを安全に利用するための情報が公開されているため合わせて確認してください※3。
より安全性を高めた認証の方式として、多要素認証や二段階認証があります。
多要素認証は、通常のユーザ名とパスワードに加え、追加のセキュリティ要素を使用してアカウントへのアクセスを確認する方法です。多要素認証の要素には
があり、これらのうち2つ以上の要素を組み合わせて認証します。これは、より高度なセキュリティを提供することができ、不正アクセスやハッキングなどの脅威からアカウントを保護するのに役立ちます。