パスワードは「123……」でいいの？ 管理者が“少しずつ”変えるべきこと

パスワード、きちんと管理していますか？

　パスワードは破られる可能性があります。破られるとアカウントが乗っ取られて、自分の個人情報や暗号資産を含む金融資産が盗まれてしまうかもしれません。X（旧Twitter）やFacebookなどのSNSであれば、誰かに迷惑をかけたり恥ずかしい思いをしたり、それが企業アカウントであれば大きく評判を下げてしまいかねません。

　最近は2要素認証などで強度が上がっているとはいえ、今でもパスワードでしか守られていないサービスがまだまだ多く残っているのが現状です。安全なパスワードの付け方についてお伝えできればと思います。

　システム担当の方は適切なパスワードの運用を説明・教育する立場にあると思います。「ルールだからこうしなさい」ではなかなか動機付けされないので、なぜそれをするのかというのは、どんな仕事においても必要です。それを説くためにも使ってもらえたらと思います。

●パスワードの鉄則

　よく見聞きする内容かもしれませんが、まず3つのパスワードの鉄則をお伝えします。

　1つめは、短い文字列を使用しない。2つめは、推測可能な文字列を使用しない。笑い話になりつつもまだまだ残っているパスワードが“password”、ユーザIDと同じ文字列などです。3つめは、複数のサービスで単一のパスワードを使い回さない。例えば、A、B、Cのサービス全て同じパスワードを設定すること、もしくは2～3個のパスワードを使い回すこと、これをやめましょうということです。

　パスワードは、それを知っているか否か許可されたユーザであるかを識別し、自分たちの資産やそれらへのアクセスを守るためのものです。しかし、パスワードは日常的にいたるところで突破されてしまっています。どうして、あなたしか知らないはずのパスワードを攻撃者は知ることができるのでしょうか。

　ここからは、攻撃者がどのような手口を使っているのかを知っていただき、パスワードの鉄則とした理由をご理解いただこうと思います。

●パスワードの破られ方

　パスワードの破られ方を今回は4つに分けて説明していきます。

　先に4つを挙げておくと、（1）総当たり（ブルートフォース）攻撃、（2）辞書（ディクショナリ）攻撃、（3）総当たりと辞書の逆パターン（リバースブルートフォースなど）（4）リスト型攻撃です。それでは1つずつ紹介していきます。

（1）総当たり（ブルートフォース）攻撃

　ブルート（brute）はあまり聞きなれないかもしれませんが、「野蛮な、強引な、力任せな」といった意味で、力任せに全部試す攻撃です。例えば南京錠みたいな形のものや扉でもありますが、数字が4桁なら0000から9999までの1万通りを試せばいつかは破れるだろうというものです。