強いパスワード弱いパスワード

皆さん強いパスワード作ってますかー!
パスワードって大事ですよね。いいパスワードだと安心できますよね。
逆に悪いパスワードだと、夜も眠れませんよね。私はそう思います。
でも、強いパスワードとはなんでしょうか。

強いパスワードって何?

パスワード管理サイトのLastPassには、こう書いてます(筆者要約)。私が特に重要だと思うことには、下線を入れました。
専門家による良いパスワードのヒント
  1. 作成するアカウントごとに必ず固有のパスワードを使用します。(後略)
  2. パスワードには、個人を特定できる情報は使用しないでください。(後略)
  3. パスワードは 12 文字以上にし、英字、数字、特殊文字を含めます。14 文字、あるいは 20 文字のパスワードを生成する人もいます。
  4. 覚える必要のあるマスター パスワードを作成する場合は、お気に入りの映画のセリフや歌詞の一部を使用します。それにランダムな文字を加えます。単純なパターンで置き換えることのないようにします。
  5. LastPass のようなパスワード マネージャを使用してパスワードを保存します。(後略)
  6. asd123、password1、Temp! のようなよく使われる弱いパスワードを使用してはいけません。強いパスワードの例として、S&2x4S12nLS1*、JANa@sx3l2&s$、49915w5$oYmH などがあります。
  7. セキュリティの質問には個人情報を使用しません。代わりに、LastPass を使用して別の「パスワード」を生成し、それを質問の答えとして保存します。それは、子供のころに住んでいた住所や母親の旧姓などの情報は、ハッカーが容易に見つけることができるので、総当たり攻撃で使用され、アカウントにアクセスされる危険性があるからです。
  8. 1 つの単語や文字のみを変えた類似のパスワードを使用してはいけません。(後略)
  9. 誰かとパスワードを共有した後、Web サイトでセキュリティ侵害が発生した後、最後に変更してから 1 年以上経った場合など、パスワードを変更すべき理由が生じたときは、パスワードを変更します。
  10. 電子メールやテキスト メッセージでパスワードを共有してはいけません。(後略)
いかがでしょうか。ためになりますね!

パスワードは12文字以上。長ければ長いほどいい。(引用の3番)

特に3番が重要です。長ければ長い方がいいです。
許すなら64文字とか128文字でもいいくらいです。実際、私の家のWifiはものすごく長くしています。
何故長いほうが良いかというと、「総当たり攻撃(ブルートフォースアタック)」に強いからです。組み合わせの数が多ければ多いほど、たくさん試行しなければなりません。
2008年にIPAが行った調査では、以下のような結果がでています。
※すべての組み合わせを試すために必要な時間を計算。記号は31文字使用できるものとした。使用パソコンOS:Windows Vista Business 32bit版、プロセッサ:Intel Core 2 Duo T7200 2.00GHz、メモリ:3GB

ただ、2019年現在ではこの10倍以上のスペックがありますので、もっと短い時間で試行可能です。
そうなると、8桁では弱いといえるでしょう。10桁はほしいところです。
3番にあるとおり、12桁以上であれば、英字と数字(58文字)の組み合わせなら十分安全と言っていいでしょう。でも、やっぱり64桁はほしいかもですね!

ランダムな文字列にするほうがよい(引用の6番)

ランダムっていいですね。偶然を感じます。運命といっていいでしょう。
パスワードとして何が良いかと言うと、「想像がつかない」というところがよいのです。
攻撃方法の一つに「辞書攻撃(ディクショナリアタック)」というものがあります。
辞書攻撃は、その名前のとおり辞書にあるような単語やよく使われるパスワードを辞書のようにまとめたものを当たって攻撃する方法です。
辞書攻撃は総当たり攻撃より攻撃の速さに優れています。弱いパスワードを使っているような相手ならば。
総当たりで「a」の一文字からすべての組み合わせを巡って「Password」に当たるより、最初の1回めから「Password」で攻撃したほうが当然早いですものね。
ちなみに、最悪のパスワードトップ10は以下だそうです。
#1  123456
#2  password
#3  123456789
#4  12345678
#5  12345
#6  111111
#7  1234567
#8  sunshine
#9  qwerty
#10  iloveyou
引用元:The Top 50 Worst Passwords of 2018 

こんなお間抜けなパスワードは設定しないようにしましょう!

個人情報を元にしないようにする(引用の7番)

これはよく言われるものですね。自分の誕生日や子供の名前などを使わない、ということです。FacebookやTwitterなどのSNSなど使っている場合、意外と類推できてしまう情報を書き込んでいたり、写真に写り込んでいたりする可能性があります。
覚えやすいかもしれませんが、秘密にするべきものですから推理されてしまっては元も子もありません。

パスワードは変更するべきときだけ変更する(引用の9番)

以前は、定期的にパスワードを変更したほうがよい、と言われていました。しかし、最近総務省で「定期的な変更は不要」という文がでました。
その理由は、定期的な変更を迫られるばっかりに「pass001」「pass002」・・・等といった数字だけローテーションさせて推理しやすいパスワードをつける人が多くなってしまったからです。
これは、 2017年にNIST(アメリカ国立標準技術研究所)が、NIST SP800-63B(電子的認証に関するガイドライン)で示されたものです。
良かれと思ったことが、人間の悪知恵によって、却って悪い傾向を生み出してしまった、ということですね。
なので、なるべく長くランダム性のある強いパスワードを付けて、パスワード流出の危険性がでたなどどうしても変えなければならないときだけ変更する、とするで十分でしょう。

ちなみに、2019年1月15日現在、NIST SP800-63Bを読もうとしたら、政府閉鎖されていたので見れませんでした・・・。また今度見ておこうと思います。

以上、強いパスワードについて、説明しました。これで枕を高くして眠ることができますね!
またの機会に実際に強いパスワードの作り方などをブログ記事にしたいと思います。

コメント

コメントを投稿

このブログの人気の投稿

リモートワークをLogicoolのマウスとキーボードで複数PC切り替えて優勝した

イメージ
デバイス多すぎるんやが問題 仕事上シンクライアントPCを支給されているのだけれども、当然キーボードとマウスが増えるのでとても面倒くさい。 シンクライアントPCはノートPCなのでノートのキーボード使えやって話でもあるけど、使いにくいでしょ? ということで、自前のをつないでいるんだけれど、メインPCでも調べごとしながらしているとなかなか作業場が厄介になる。 メインで使っているのはMXREGOじゃない 上図のマウス1に当たる部分はLogicoolのMX REGOというトラックボールマウスである 「そういえばこれPC2台接続できるじゃない? ということで、ついでにキーボードも切り替えできるものとしてK375sを購入した Logicool K375s Multi-Device Wireless Keyboard & Stand Combo 構成 問題点 シンクライアントPCにLogicoolのソフト入れられない シンクライアントPCなのでLogicoolのPCにUnifyingソフトウェアを入れることができない。 つまり設定することができない つまり詰んだ? ぴえん🥺 解決法 「聞こえますか…UnifyingはBIOSで認識できるのです...」 アラサーおじさんが泣いていると直接脳内に声が聞こえました。 アメージング! Unifyingレシーバーは直接デバイスとペアリングしているのです! ここらへんの仕様を調べたのですが、Logicoolのホワイトペーパーとかも見当たらないし、今ひとつつかめないんですよね。 同じような無線仕様のBluetoothはアプリケーションレベルで解決してるっぽい?のですが、Unifyingはハードウェアレベルで解決してるようですね。 話はそれましたが、解決法はこうです。 メインPCに2つ目のレシーバーを挿す 通常どおりペアリングする そのレシーバーを外しメインPCには元のレシーバーを挿す シンクラPCに2つ目のレシーバーを挿す これで解決できました。レシーバー上にペアリング情報が残るのですね。なので、こういった他PCでペアリングして指し直して使うという取り回しができるようですね。 リモートワークも一組のキーボードとマウスですむようになった
続きを読む

VBAでのInterfaceやキャスト

前段 個人的に、Excel VBAを仕事で組む機会がある。 自由に組んでいるので、いろいろと設計方法、実装方法を考える。 VBAのインターフェース VBAにはJavaでいうextendsのような継承はない。 Interfaceがあるので、ポリモーフィズムを実現するときは、これを使うのが一つの方法論だ。 ただ、インターフェースは、というか、VBAはクラスのキャストができない。 インターフェイス自体が、そうする性質のものではないのだが、つい欲しくなるときがある。 Object型 さて、話は変わるが、VBAには、Object型というものがある。 平たく言うと、あらゆるクラスに適する型である。あらゆるクラスのスーパークラスと思うと話が早い。 そして、Objcet型からは元のクラスで実装したプロシージャを呼ぶことができる。ObjectによるポリモーフィズムもVBAでは可能、といえる。 なので、ダウンキャストを実現するために、インターフェイスでインスタンスが自己をObjectで出力するためのメソッドを定義してあげることで、スーパークラスからサブクラスへのキャストを実現する。 実装例 Class InterfaceClass '' プロパティ Public porp as String  '' イミディエイトウィンドウに出力する Public Sub printOut() As String End Sub '' 自己をObject型で出力する Public Function Object() As Object End Function Class ImplementClass '' InterfaceClassを実装する Implements InterfaceClass '' スーパークラスのGet,Letのため、 '' 値を保持しておくためのプロパティ Private prop As String '' Getter Public Property Get InterfaceClass_prop() As String InterfaceClass_prop = prop End Property
続きを読む

SUPERHOTがいかにSUPERHOTか語りたい

イメージ
注意 ただの感想の垂れ流しです 全世界が驚愕した待望したゲーム性 SUPER HOT は、今までで3作でている。 SUPER HOT (以下SUPERHOT) SUPER HOT VR(以下VR) SUPER HOT : MIND CONTROL DELETE(以下DELETE) SUPERHOTは2013年にKickStarterでクラウンドファンディングされて、見事成立させできたゲームだ。 このゲーム性は、シンプルかつ非常に魅力的なものだった。 「自分が動いている間だけ時間が進む。自分が動かなければ(ほとんど)すべてが止まる」 映画MATRIXの有名な場面のように 弾丸が止まって見える を体現したゲームだったのだ。 死角から弾丸が発射されても、軌道を見てから紙一重で避けて、反撃する。そんな映画みたいな演出を実体験できる。 ブラウザでできるプロトタイプからそれが実現できていた。 プロトタイプを再生する-SUPERHOT クラウンドファンディングが成功して当然のゲームなのだ。 質実剛健なグラフィック SUPERHOTが発売されたものは、グラフィック自体は特に凝っているわけではなかった。すべて3Dグラフィックだが、ポリゴンチックで2013年当時でもきめ細かいグラフィックとは言えない。 ただ、その表現が非常にゲームとしてシンプルかつ機能美を追求したものだった。 敵は赤色 武器は黒色 ステージなどその他は白色 直感的でゲームを理解できる。そして、敵キャラクターはほとんど同じ造形のポリゴン。ただの記号だ。 ゲームはゲーム。下手な感情移入など不要。そう言わんばかりの作りだ。 先の「映画的な楽しみ方」を100%没頭させるゲームなのだ。 シンプルなゲーム性に高い戦略性 しかし、一言でいうとこのゲーム「死にゲー」である。 ルールハシンプルだが、かなりの高い戦略性を求められる。 1対1で射撃戦を講じるなら余裕だろう。しかし、このゲーム敵がわんさか出て、1対多を必然的に求められる。 360度どこから弾丸が飛んでくるか分からない。故に、全体を見渡しての状況把握が必要となる。 そうやって視点を動かしている間に背後を取られる、などというのもしばしば起こる。 そして、「ゲームオーバー」 さながら、ワンマンアーミーの過酷さ
続きを読む