どもっ、ナタリ(@denkikayou)です。
インターネット上のサービスを利用する際に、必ずと言っていいほど必要になるのがユーザーIDとパスワードです。とても大切な情報なのに、実際は複数のサービスで同じパスワードを使っていたり、覚えやすいよう簡単なモノにしていたりと、自分自身でもセキュリティ上良くないなぁと気にはなっていました。
そんな時にたまたまたパスワードの安全性を確認できるサイトを知り、試しにいつも使っていたパスワードを試してみたんです。すると今まで思わず笑ってしまうくらい脆弱なパスワードを使っていたことが分かり、このままではいけないということで少しパスワードについて考えてみました。
自分のパスワードがヒドすぎた
自分のパスワードがどれほどの強度かを確認できるサイト。
How Secure Is My Password?
このサイトは、入力したパスワードがどれくらいの強度であるかを、クラックされるまでの時間で示してくれます。ここでのクラックとはパスワードが特定されてしまうことで、強いパスワードほどクラックされるまでに時間がかかるということになります。
ナタリの使っているパスワードを試しに入力したところ、中に驚きの19秒ってのがありましたw
19秒てのは目安なんだろうけど、本気でクラックされるとその程度で解析されてしまう強度しかないと言うことだよね。みなさんも試しに自分のパスワードを入力してみると、驚愕の結果が表示されるかもしませんよw
注意 もし自分の利用しているパスワードを確かめる場合、念のためですが、現在実際に利用中のパスワードは入力しない方が良いかもしれませんね。Abc&123aというパスワードだったらXyz#987xとするなど、利用している文字の種類と文字数を一致させたダミーのパスワードでテストしてみるといいと思います。
安全性の高いパスワードとは
自分のパスワードの弱さが明らかになった以上、このままではいられません。そこでパスワードを設定する際に気をつけることを調べてみましたよ。
できるだけ長いパスワードにする。
- パスワードは長けりゃ長いほど安全になりますね。最低8文字が必要と言われているようですが、ナタリ的には10文字はあった方が良さそうだと思います。
アルファベットの大文字と小文字、数字、記号を利用する。
- すべてアルファベットの小文字だけだったりすると非常に弱いパスワードになってしまいますので、絶対に大文字や記号を含める必要があります。
パスワードは使い回さない。
- もしも1つでもパスワードが盗まれると被害が拡大しちゃいますからね。他のサービスで利用しているパスワードはまた使いたくなっちゃいますけどガマンです。
自分に関連のある情報を利用しない。(誕生日・電話番号・名前など)
- 当然パスワードを盗みに来る人は、SNSなどで自分の情報を集めている可能性もあります。誕生日、名前なんて簡単にすぐにバレちゃいますよね。
意味のある単語を利用しない。
- 辞書に載っているような単語は、簡単に総当たりで突破されちゃうので危険ですね。
有名な人名や地名などを含めない。
- 芸能人や地名・都市名なども簡単に推測されちゃいやすいのでダメってことです。
定期的にパスワードを変更する。
- 少し意味合いが違いますが、長期間同じパスワードを使い続けるのは危険なので、定期的に変更するのが安全ということですね。
パスワードの強度を確認する
では、先ほどのHow Secure Is My Password?で、どのようなパスワードにすると良いのか、試しにいくつか入力して確認してみました。
まずは、必要最低と言われる8文字のパスワードを試してみます。文字の種類はアルファベット小文字のみから徐々に増やしてみました。
| natalida | アルファベット小文字のみ 8文字 | 52秒 |
| NatAlida | 大文字+小文字 8文字 | 3時間 |
| natali12 | 小文字+数字 8文字 | 11分 |
| NatAli12 | 大文字+小文字+数字 8文字 | 15時間 |
| NatAli%2 | 大文字+小文字+数字+記号 8文字 | 3日 |
結果は8文字の場合、大文字、小文字、数字、記号を含めても3日程度で破られてしまう強度しかないとのこと。
それでは次にどの程度の文字数があれば良いか調べてみます。
| NatAli%12 | 大文字+小文字+数字+記号 9文字 | 275日 |
| NatAli%123 | 大文字+小文字+数字+記号 10文字 | 58年 |
| NatAli%1234 | 大文字+小文字+数字+記号 11文字 | 4千年 |
文字数が9文字になると大幅に時間がかかるようになりました。パスワードは8文字以上が良いという情報をよく目にしますが、クラックする側のコンピューターも性能が上がっているからなのか、今はもう8文字では不充分になっているのかもしれません。そう考えると275日あれば安全性が高いように思いますが、今後のことを考えてナタリは10文字でパスワードを考えることにしました。
まぁ今回の結果はあくまでもHow Secure Is My Password?で出た結果ということですが、それでも大体の目安になるんじゃないかなぁと思っています。
まとめ
パスワードの管理ってホント面倒なので、できれば簡単に済ませたいですよね。しかし、オンラインサービスが攻撃を受け、ID、パスワードを流出させてしまう事件は後を絶たないし、なりすましや不正ログインの話題も増える一方なのを考えると、もっとしっかり考えるべきだなと思いました。まぁ今更な話ですよね〜恥ずかしながら。
ナタリはパスワード管理に1Passwordを利用してるというのに、パスワードそのものの安全性は正直あまり深く考えて無かったので、今後は急いで全サービス安全性の高いパスワードに変えていこうと思います。パスワードジェネレーターを使い10文字のパスワードを作成するって感じでいきます。
パスワードが破られると大きな損害を被る可能性もありますので、みなさんももう一度利用しているパスワードを見直してみてはいかがでしょうか?そして定期的に変更するよう頑張りましょう。
Mac
iOS
