危険なパスワードと安全なパスワード|見分け方と作り方
code-house-plusはじめに
「記号を入れているから大丈夫」「8文字あるから問題ない」——パスワードについて、こう思っている方は少なくないと思います。
しかし、見た目が複雑そうなパスワードでも、実は 危険になりやすい タイプがあります。同じパスワードをメール・ショッピング・ゲームで使い回している場合も、長さ以前にリスクが高い状態です。
私は、パスワードの安全さを 「長いか短いか」だけ で判断するのではなく、危険なパスワードか、安全なパスワードか を見分けたうえで、現実的な作り方までセットで考えることが大切だと考えています。
この記事では、危険なパスワードの見分け方と、今日から実践できる安全なパスワードの作り方について、詳しく説明していきます。
目次
- パスワードとは何か — 攻撃者は何をしているのか
- 危険なパスワードの見分け方
- 安全なパスワードの基本条件
- 安全なパスワードの現実的な作り方
- その先:パスキーと二要素認証
- 今日からできること
- まとめ
📹 動画版もあります
同じ内容を動画で解説した版も用意しています。文章より音声の方が好みという方は、そちらもご覧ください。
1. パスワードとは何か — 攻撃者は何をしているのか
パスワードの役割
パスワードは、本人だけが知っている合言葉 です。Webサイトやアプリは、その合言葉が合えば「本人だ」と判断して、中に入れてくれます。
問題は、知らない人が当てに来る ことです。攻撃者は、あなたのパスワードを知るために、主に次の2つの方法を使います。
総当たり攻撃
1つ目は 総当たり攻撃 です。文字の組み合わせを、ひたすら試していく方法です。パスワードが短いほど、試すべき組み合わせの数が少なくなり、突破されやすくなります。
辞書攻撃
2つ目は 辞書攻撃 です。世界中の人がよく使うパスワードのリストを、先に試していく方法です。「よくある1000万パターン」のようなリストが、攻撃側には存在します。
つまり、危険なパスワードとは、短かったり、推測されやすかったり、よくあるパターンだったり して、すぐ試されてしまうもの、と考えてください。
2. 危険なパスワードの見分け方
危険なパスワードには、大きく3つの傾向があります。
条件1:短い
8文字以下、あるいはそれに近い短さのパスワードは、総当たりで試される時間が短くなります。「数字だけ8桁」のようなパターンも、危険になりやすいです。
鍵に例えるなら、ピンの数が少ない鍵 です。1桁増えるごとに組み合わせは増えますが、そもそも桁数が足りなければ、試行回数が現実的な時間で済んでしまいます。
条件2:推測されやすい
次に、推測されやすい パスワードです。
- よく使われる英単語をそのまま使っている
- 自分の名前 や 誕生日 を入れている
- SNSに公開している情報から想像できそうな組み合わせになっている
こういうものは、攻撃側から「まず試す価値がある」とみなされやすいです。泥棒に例えるなら、ドアの横の植木鉢の下に鍵を置いている ようなもの。とりあえず試してみよう、と思われてしまいます。
条件3:見た目だけ複雑
3つ目は、見た目だけ複雑 なパスワードです。
会社のシステムなどで「大文字・小文字・数字・記号を入れろ」と言われて、よく作られるパターンがあります。一見、しっかりしていそうに見えます。
ですが、こういうパスワードは 辞書攻撃 のリストに、かなり上位で載っているタイプです。世界中の人が同じルールで作るので、よくあるパターンの中に、すぐ入ってしまうんです。
記号を足しただけ では、危険なパスワードから安全なパスワードには移れません。
古い常識:定期変更は必須?
ここで、古い常識を1つだけ触れておきます。
「3ヶ月ごとにパスワードを変えなさい」という話、まだ聞いたことがある方もいると思います。最近の考え方(NIST SP 800-63B など)では、漏れたことが分かったときに変える のが基本です。
無理に短い期間で変えると、かえって 末尾の数字だけ1つ増やす ような、推測されやすい形になりがちです。「記号を足して定期変更」だけでは、安全なパスワードとは限りません。
使い回しも危険
上記に加えて、複数サイトで同じパスワードを使い回している 場合も、危険な状態です。これは次の章で詳しく説明します。
危険なパスワードかどうか、チェックリスト
- 短い(8文字前後)
- 名前・誕生日・よくある英単語系
- 記号を足した、よくあるパターン
- 複数サイトで使い回している
1つでも当てはまるなら、見直しを検討してみてください。
3. 安全なパスワードの基本条件
じゃあ、安全なパスワード とはどういうものか。基本条件は2つです。
長いこと
1つ目は、長い ことです。
鍵のピン数に例えると、1桁増えるごとに、組み合わせの数が大きく増えます。ただし、これは ランダムな文字列 の場合の話です。同じ文字の繰り返しだけが続くパスワードは、長くても弱いです。
目安として、12文字以上、できれば 16文字以上。
これは、ランダム生成を前提にした、安全なパスワードの 最低ライン として覚えておいてください。
「何文字以上?」と聞かれたときの答えは、12〜16文字以上、かつ推測されにくいランダム です。
ランダムであること
2つ目は、ランダム であることです。
自分の名前や誕生日、よくある単語の組み合わせではなく、推測されにくい文字列である必要があります。パスワードマネージャーの生成機能を使うのが、いちばん現実的です。
サイトごとに別であること
3つ目の必須条件は、1サイト1パスワード です。
同じパスワードを、家の鍵、車の鍵、会社の金庫の鍵、全部同じにする人は、あまりいないと思います。ところがWeb上では、1つのパスワードを何十サイトでも使い回す 人が、驚くほど多いんです。
あるサイトからパスワードのリストが漏れると、攻撃者は 他のサイトでも同じ組み合わせを試します。これを クレデンシャルスタッフィング といいます。
長さ以前に、使い回しは危険 です。安全なパスワードにするには、サイトごとに別 が必須です。
4. 安全なパスワードの現実的な作り方
「長く、ランダムで、サイトごとに別」——聞けば分かるのに、人間の記憶では無理 ですよね。
なので、安全なパスワードの現実的な作り方は、次の3つです。
1. パスワードマネージャーを使う
1Password、Bitwarden、Googleパスワードマネージャーなど、種類はいろいろあります。
長いランダムなパスワードを、全部預かってくれる金庫番 だと思ってください。マスターパスワード1つを覚えれば、あとは自動入力してくれます。
「覚えられないから短くする」という妥協から、解放してくれるツールです。
2. サイトごとに、マネージャーでランダム生成する
手で考えず、生成ボタン一発。20文字以上でも問題ありません。
新しいサービスに登録するたびに、その場でランダムなパスワードを作る 習慣をつけるだけで、使い回しはかなり防げます。
3. 重要なサイトは、二要素認証(2FA)もオンにする
メール、銀行、SNSなど、特に大事なアカウントでは、2段目の鍵 も用意してください。
パスワードが漏れても、スマホの確認などがあると、だいぶ安全に寄せられます。長いパスワードと2FAの組み合わせが、現実的な最強セットです。
5. その先:パスキーと二要素認証
パスキーとは
最後に、パスキー について触れておきます。
パスキーは、さらに安全にする 次の段階 です。顔や指紋そのものを送るのではなく、あなたの端末が持っている鍵 で、本人確認をする仕組みです。
パスワード情報自体を送信しない仕組みのため、傍受やなりすましサイトなどにも強い、とされています。パスワードの入力が要らなくなるだけでなく、セキュリティが大幅に強化される機能です。
全部を今日から切り替える必要はない
対応しているサービスでは、設定画面から「パスキーを追加」できます。全部を一度に切り替える必要はありません。メールなど、大事なアカウントから 試してみてください。
6. 今日からできること
いきなり全部を完璧にする必要はありません。次の2つから始めてみてください。
ステップ1:パスワードマネージャーを1つ入れる
まず、使いやすいパスワードマネージャーを1つ選んで、インストールします。無料で始められるものも多いです。
ステップ2:いちばん大事なアカウント1つから替える
メールアドレスなど、いちばん重要なアカウント1つ から、マネージャーで生成したランダムな長いパスワードに替えてみてください。
1つ成功すれば、「長くても運用できる」という感覚が掴めるはずです。
7. まとめ
危険なパスワードの共通点
- 短い
- 推測されやすい
- よくあるパターン(記号を足した型など)
- 使い回し
安全なパスワードにするには
- 12〜16文字以上 の、ランダムなパスワード
- 1サイト1パスワード
- パスワードマネージャー を使う
- 重要サイトは 二要素認証 もオン
- 余裕があれば パスキー も
重要な認識
パスワードは、長ければいいというだけではありません。危険なパスワードか、安全なパスワードか を見分けて、作り方までセットで考える、というのが大切です。
「記号があるから大丈夫」という安心は、見直しのタイミングかもしれません。今日から、パスワードマネージャー と 大事なアカウント1つ から、始めてみてください。
プログラミング学習との関係
プログラミングを学ぶ方にとっても、パスワード管理は実務の基本です。GitHubにAPIキーを載せてしまう、ソースコードにパスワードを書いてしまう——こうしたミスは、初学者のうちから意識しておきたいポイントです。
セキュリティの話は、別の記事や動画でも取り上げていく予定です。気になるテーマがあれば、ぜひコメントで教えてください。
