安全なパスワードを設定するために知っておきたいルールについて紹介します。
オンラインストアで商品を購入するとき、サーバーにアクセスするときなど、パスワード認証を利用する機会は少なくありません。どんなパスワードを設定するのがよいのでしょうか。
基本的なパスワード認証のしくみとは
認証とは、「その人が本物(本人)であるかどうかを確認すること」です。確認する手段として、その人であるという情報(ID)とその証拠(パスワード)の組み合わせが一致するかどうかを用いるのがパスワード認証です。
指紋や静脈、虹彩などの生体認証と比べると安全性は低いものの、しくみを用意するサービス提供側にとっても利用する側にとっても負担が少ないことから多くのサービスで採用されています。
その一方で、IDとパスワードの組み合わせを知っている人は、誰でも本人だと認められてしまうというリスクがあります。サービス提供側が安全に管理するだけでなく、そもそもパスワードを設定するとき適切に設定することも大切です。
基本的な作成ルールは「短すぎないこと」「個人情報からは推測できないこと」「数字を順番に入力、キーボード配列など推測されやすいものは使わないこと」「パスワードを使いまわさないこと」など従来から変わらないものですが、ここ数年の間に推奨される内容が少しずつ変わってきています。
今回は、世の中の変化に合わせて少しずつ変わっているパスワードの設定ルールを3つ紹介します。
その1:定期的にパスワードは変更しなくてよい
以前は、定期的にパスワードを変更することが推奨されていたため、一定期間経つとパスワード変更を促すサービスもありました。使い慣れないパスワードを設定してしまい覚えられずに困った経験をされた方もいるでしょう。
しかし2017年頃から、国が発行するセキュリティガイドラインなどでは「定期的な変更をする必要はない」という表現に変わってきています。総務省が情報セキュリティの啓蒙目的で公開している「国民のための情報セキュリティサイト」では、以下のように紹介しています。
これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです。また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています。
国民のための情報セキュリティサイト (総務省)
パスワードを定期変更するとパターン化して類推されやすくなったり、覚えるために短くなったり、同じパスワードを使いまわしたりすることが起きやすいためです。
現在は、パスワードを定期的に変更するよりも、複数サービスで使い回せずに固有のパスワードを設定して使うことのほうが重要だとされています。
その2:無理して大文字、小文字、記号、数字を組合わせなくてもよい
Webサービスによっては「必ず記号と数字を入れた〇文字以上」といった条件でにパスワードを要求する場合があります。これは今まではアルファベットの大文字と小文字に加え、数字や記号を加えるのが良いパスワードとされていたためです。これは複雑なパスワードを設定できる反面、無理に条件に合わせようとすると、結果として特定の文字列でaを1に置き換えただけのような、安易にルール化されたパスワードになってしまう危険があります。
現在は、文字種を増やすよりも文字数を多くしたパスワードのほうが強固であるとされています。つまり「J41g2@t3」のような記号や数字を混ぜた8文字のパスワードよりも、「irohanihoheto」のような記号を使わない12文字以上のパスワードのほうがセキュリティ強度が高いとして推奨されています。
もちろん記号や数字を組み合わせたほうが強度は増しますが、制約がないほうが自分が覚えやすくて、使いまわししないでも済む長いパスワードを作りやすくなるという利点があります。
インターネット上のセキュリティ情報を蓄積・情報発信しているJPCERT/CCでは、「STOP! パスワード使い回し!キャンペーン2019」の中で[ 英単語 ]+[ 好きな日本語のローマ字 ]+[ 英単語 ]+[ 英単語 ]… といった組み合わせで文字数を増やしつつ覚えやすいパスワードを作る方法を紹介しています。
>>STOP! パスワード使い回し!キャンペーン2019 (JPCERT/CC)
その3:秘密の質問にはまじめに答えない
Webサービスのなかには「秘密の質問」を尋ねられることがあります。これは母親の旧姓やペットの名前などを事前に登録しておき、パスワードを忘れてしまったときに答えるとパスワード再設定ができるという機能です。
正直に、正しい答えを設定してしまいまいがちですが、内閣サイバーセキュリティセンターが発行する『ネットワークビギナーのための情報セキュリティハンドブック』では、「秘密の質問にはまじめに答えない」ことが推奨されています。これはSNSなどから個人情報がわかってしまうと答えを類推できる可能性があるためです。
IPAでは、本人が覚えやすく自分にしかわからない「共通フレーズ」を秘密の質問の答えに付け加える例を紹介しています。例えば秘密の質問が「あなたの好きな果物は?」であれば「みかん“カモしれない”」と入力することで第三者に推測されにくい答えにすることができるというものです。この場合「カモしれない」が共通フレーズになり、「あなたの母親の旧姓は?」「前田“カモしれない”」など答えに付け加えます。
>>IPA「2015年7月の呼びかけ:その秘密の質問の答えは第三者に推測されてしまうかもしれません」
>>NISC「ネットワークビギナーのための情報セキュリティハンドブック」
***
自宅や会社で短いパスワードを使いまわしている、全社でひとつのパスワードを共有している、という方は、一度見直してみることをおすすめします。
(「紙とデジタルと私たち」2018年10月30日掲載分を一部修正)