パスワードとは?定義・種類・強度・生成と安全対策の完全ガイド
パスワードとは?定義・種類・強度・生成と安全対策の完全ガイド — 作り方・管理法・最新の防御策を分かりやすく解説。初心者向けの実践テク満載。
パスワードは認証の手段の一つで、ユーザーが自身のアカウントやデータにアクセスする際に身元を確認するために使われます。パスワードは個人情報やアカウントを守る重要な要素なので、必ず秘密にしておかなければなりません。用途により、長期間同じものを使う「静的パスワード」と、定期的に変わる「動的パスワード」に分かれます。動的パスワードの一例として、一度しか使えない仕組みや短時間だけ有効なコードを使う方式があります(用語としては「ワンタイムパスワード(OTP)」が一般的です)。なお、暗号理論で言う「ワンタイムパッドが」は理論上の完全安全な暗号方式で、ワンタイムパスワード(OTP)とは区別されます。
パスワードの歴史と用途
パスワードが最初に使われた記録の一つは軍隊でのことです。暗闇の中で味方と敵かを見分けるために合言葉や識別手段として用いられていました。現代ではオンラインサービス、ネットワーク機器、暗号化鍵の保護など、多岐にわたる用途でパスワードが使われています。
パスワードの構成要素とルール
一般にパスワードは英字(大文字・小文字)、文字(=記号)、数字を組み合わせて作られます。多くのサービスは最低文字数を要求し、しばしば最低6〜8文字を求めることが多いですが、推奨はそれより長いもの(後述)です。あるサイトはウェブサイトでは、文字と数字だけを許可するなど制限があり、キーボード上で入力できない文字は使えない場合があります。パスワードの"強度"を高めるために文字・数字・記号の組み合わせを用いるのが一般的ですが、最近のガイドラインでは「長く覚えやすいパスフレーズ」を推奨する傾向があります。入力時には、誤入力を防ぐためにパスワードの各文字が*や•などで隠されます。
強度(推測されにくさ)の考え方
パスワードの安全性は「推測に要する時間(攻撃者の計算能力)」で評価できます。重要な考え方は次の通りです。
- 長さ(長いほど良い):同じ文字種でも長さが増すと組み合わせが指数的に増え、強度が大きく向上します。一般的な推奨は最低12文字、重要なアカウントでは16文字以上、パスフレーズ(複数の単語を連ねたもの)は短い単語を3〜4個以上組み合わせる方法が有効です。
- 複雑性(多様な文字種):大文字・小文字・数字・記号を混ぜると組み合わせの幅が増えますが、覚えにくくなる欠点があります。
- 予測不能性:辞書に載る単語や簡単な連続文字列("password123"、生年月日など)は避ける。個人情報(名前、誕生日、ユーザー名)も使わない。
- 再利用禁止:複数サイトで同じパスワードを使うと、一つが漏れるだけで被害が波及します。
パスワード作成と管理のベストプラクティス
- 長いパスフレーズを使う(例:「correct horse battery staple」のように意味は覚えやすく、長さで強度を稼ぐ)。
- サイトごとにユニークなパスワードを設定する。記憶が難しければ信頼できるパスワードマネージャーを利用する。
- 可能な限り多要素認証(MFA)を有効にする:SMSよりもTOTP(Authenticatorアプリ)、さらに安全にはU2F/FIDO2のハードウェアセキュリティキーを推奨。
- 定期的な変更は「必須」ではなく、通常はアカウントが侵害された証拠がある場合や使い回しが発覚した場合に変更する。過度な頻繁変更はユーザーが弱いパスワードを作る原因になります。
- フィッシング対策として、メールやSMSのリンクから直接ログインしない。公式サイトやアプリからアクセスする。
攻撃手法と防御
代表的な攻撃には次のようなものがあります。
- ブルートフォース攻撃:総当たりで試す。長いパスワードやレート制限で対抗。
- 辞書攻撃:一般的な単語やフレーズを試す。複雑で予測不能なパスワードで対抗。
- クレデンシャルスタッフィング:他サイトで漏れた組み合わせを試す。パスワードの再利用を防ぐことが重要。
- フィッシング・マルウェア:ユーザーから直接盗む。MFA、セキュアなブラウザ習慣、アンチウィルスで対抗。
保存とサーバー側の扱い(開発者向け要点)
サービス提供者側はパスワードを平文で保存してはなりません。安全な取り扱いの基本:
- パスワードは必ずハッシュ化して保存する。単純なハッシュ(MD5やSHA-1のみ)は脆弱なので避ける。
- 推奨アルゴリズム:Argon2、bcrypt、scrypt などのパスワード用KDF(鍵導出関数)。
- 各パスワードに個別のランダムなソルトを付け、レインボーテーブル攻撃を防ぐ。
- 反復(コスト)パラメータを設定して計算負荷を高める。将来のハードウェア進化に合わせて調整可能にすること。
- 通信はTLSで保護し、パスワードは常に保護チャネル経由で送受信する。
- 可能ならパスワード漏洩検知、レート制限、アカウントロック(適切に設定)を導入する。
ハッシュ化と暗号化の違い
暗号化とハッシュ化は目的が異なります。暗号化はデータを復号可能な形で変換し、復号鍵があれば元に戻せます。ハッシュ化は一方向の変換で、同じ入力からは同じハッシュが得られますが、ハッシュから元のパスワードを復元できないことが望まれます。パスワード保護にはハッシュ化(適切なアルゴリズムとソルト)が基本です。
生体認証と代替手段
パスワード以外の認証方法として、指紋スキャナーや顔検出を使った生体認証があります。これらは便利でフィッシングに強い場合がありますが、変更できないという性質上、漏えい時のリスクやプライバシー問題も考慮する必要があります。最も安全なのは生体認証やセキュリティキーとパスワードを組み合わせた多要素認証です。
実践的なチェックリスト(ユーザー向け)
- 主要なアカウント(メール、銀行、SNS)は長くてユニークなパスワードにする。
- パスワードマネージャーを導入して使い回しを避ける。
- 重要なサービスではMFAを有効化する(可能ならハードウェアキー)。
- 怪しいメールやログイン通知が来たら即座にパスワードを確認・変更する。
- 自分のメールアドレスが過去に漏れていないか定期的に確認する(有名な漏洩チェックサービスを利用)。
まとめると、パスワードは認証の基本となる重要な要素です。長さと予測不能性、サイトごとの使い分け、そして多要素認証の併用が安全性を大きく高めます。サービス提供者は安全なハッシュ化と適切な運用でユーザーのパスワードを守る責任があります。
関連ページ
- 暗号化 - 暗号化
- FreeOTFE - ディスク暗号化
- プリティグッドプライバシー (PGP) - 電子メールの暗号化
- PuTTY - SSH 暗号化
リソース
- https://useful.tools/password-generator 強力で安全なパスワードを生成する無料ツール
- https://www.theguardian.com/money/2016/may/21/how-create-perfect-password-hackers-online-accounts-safe "完璧なパスワードの作り方"
質問と回答
Q:パスワードとは何ですか?
A:パスワードとは、個人を特定するための認証方法のことです。
Q: なぜパスワードを秘密にすることが重要なのですか?
A:パスワードは個人を特定する唯一の方法であるため、秘密にすることが重要です。
Q: パスワードが静的であるとはどういう意味ですか?
A: 静的なパスワードとは、ユーザーが変更しない限り同じであること、またはほとんど変更されないことを意味します。
Q: パスワードが動的であるとはどういう意味ですか?
A: 動的なパスワードとは、定期的に変化し、同じ状態を維持しないことを意味します。
Q:一度しか使えない動的なパスワードとはどのようなものですか?
A:ワンタイムパッドは、一度しか使えない動的なパスワードの一例です。
百科事典を検索する