ハッキングに6億年かかるパスワードは意外にも「ThisIsMyPasswrd」
30秒でわかる記事まとめ
- 昨今、テレワークなど効率的な働き方が浸透中。Webサービス利用が増えると共に、管理すべきパスワードも急増。
- 「使い回し」と「単純な文字列」はNG。Webサービスを乗っ取られてしまう。
- 対策は、「1つ捻った」覚えやすい文章にすること。
テレワーク拡大で「パスワードの使い回し」大量発生!?
数年前から始まった働き方改革の推進に伴い、効率的な働き方を模索する動きが社会全体で進んでいます。テレワークやオンライン授業といった働き方/学び方も、昨今の情勢と相まって選択肢の1つとして普及していくでしょう。
そして労働効率の改善にはこれまで以上にWebサービスの利用が重要です。そして同時に、それらを利用するためのログイン情報、つまりIDとパスワードがWebサービスの数だけ必要になります。ID=メールアドレスであることが多いので、正確にはパスワードが急増するでしょう。しかし面倒だからと言って、使い回しは絶対にNGです。
この連載でも何度か説明しましたが、同じパスワードを複数のWebサービスで使い回すと、いずれかのWebサービスからログイン情報が漏れたときに被害が拡大してしまいます。なぜなら、情報を盗むような悪意ある人たちは「パスワードは使い回されているもの」と踏んで行動するため、入手したログイン情報はさまざまなWebサービスでも試すからです。結果、同じパスワードだったWebサービスがほぼ同時に乗っ取られてしまうのです。
6文字増やすだけで2世紀破れないパスワードに変身!?
とはいえ、単にパスワードをWebサービスぶん作れば良いというわけではありません。
覚えやすいからと「1234567」「ABCDEFG」といった単純な文字列にしてしまうとログイン情報の流出以前に、悪意ある人たちが日常的に行っている「総当たり攻撃(使われやすい文字列を試し続けることで結果的に正解にたどり着く方法)」で破られてしまいます。この方法は意外と優秀(?)で、小文字のみ7字のパスワードなら0.3秒以内に破ってしまいます。
ではどのようなパスワードにすれば良いのでしょうか。
まずは文字数を増やしてみましょう。先ほどの「小文字のみ7文字」に6文字足して「小文字のみ13文字」にするだけで、総当たり攻撃の成功時間を0.3秒以内から2世紀(!)にまで延ばせます。
ただしこの時間は、パスワードを破るために使用するコンピューターの性能によって上下します。最近は技術革新によって、悪意ある人たちがスーパーコンピューター並みの計算能力を保有していることも少なくありませんので、文字数を増やすだけでなく、二要素認証が使えるサービスならば積極的に設定しておくことも重要です。
そして、忘れないように覚えやすい文章にしてみるのも良いアイデアです。たとえば、すぐに破られてしまいそうな「ThisIsMyPasswrd」は、パスワードを破るまでに6億年かかると言われています。その理由は大文字と小文字を組み合わせたうえ、意図的にスペルミス(oがない)を混入させているからです。
同じく「iLoveAv0cado!」も破られにくい文章の1つです。こちらは単語内のアルファベットのo(オー)を0(ゼロ)に置き換えるというスペルミスを混ぜることで、破られにくくしています。
これを参考にあなたも覚えやすく、破られにくいパスワードを考えてみてください。
さいごに
せっかく破られにくいパスワードの設定ができたとしても、自ら漏らしてしまう事例があります。それはフィッシング詐欺と呼ばれるものです。悪意ある人たちは、正規のサイト運営者になりすまし、巧みなメッセージを送りつけ、個人情報の入力を促してきます。万が一騙されてしまいメッセージに記載のリンクを押したとしても、あんしんセキュリティの危険サイト対策をしておけばアクセスするサイトが危険なサイトとの評価や評判がないかをデータベースで確認し、危険な場合は画面上で警告を表示します。
※この記事は、マカフィー×ASCII.jp「せきゅラボ」掲載記事を元に制作されました。