パスワードの問題点
- 単純なパスワードの使用や、パスワードの使い回しによるセキュリティリスク
- 不正アクセスなどによる情報漏洩のリスク
- 個別に複雑なパスワードを設定すると管理が煩雑
- 設定したパスワードの保管とセキュリティ対策
- 多段階認証はセキュリティレベルが向上する反面、ログインまでのプロセスが増える
2000年前後にはパスワードをパソコンに保存することはタブーとされ、紙に記載して保管することが推奨されていたが、ランダムで複雑なパスワードを多数管理するのは不向きで、パスワードを書いた付箋をモニタに貼り付けるなど本末転倒なことにもなりかねない。
危険なパスワード
CyberGhostの記事 によると最も侵害されたパスワードは 123456 で、2019年には 2,320万件の侵害が発生しており、qwerty が 400万件、password は 360万件の侵害が発生してる。
- 世界的に侵害されているパスワード
123456・abc123・password・111111・qwerty・1qaz2wsx・sunshine・iloveyou ・admin
ExpressVPNの記事 では、日本人は意味のある単語よりもキー配列を利用したパスワード を選ぶ傾向があると指摘されている。
- 日本で多く侵害されているパスワード
12345678・password・123456789・159753qq・asdf12345・asdfghjk・1qaz2wsx・aa123456
多くのログインIDはメールアドレスなので、メールアドレスを入手して公表されている 危険なパスワード を総当りすれば確率的に何人かは突破でき、特定の人物を標的にした場合は誕生日など個人に関連したキーワードの総当りで突破されているケースも多い。
安全性と利便性のジレンマ
ExpressVPN が公開した【調査結果】パスワードの再設定にどれだけの時間を浪費している? は欧米のデータになるが、 実に半数近くの人が 月に 1 回以上パスワードをリセットしており、パスワードの管理が大きなデジタルストレスになっている。
IPA(情報処理推進機構)でも 暗号化されたファイル として保管することを推奨 しているが、具体例として掲載しているパスワードの管理方法は、表計算ソフトを使用してファイルをパスワード保護する非効率的なもので、パスワード保護されたエクセルや Zipファイルの安全性にも疑問があり、実務レベルで安全に効率よく運用できる管理方法を提示できていない。
定期的なパスワードの変更
パスワードの定期的な変更に関しては、 2017年 6月の NIST(米国国立標準技術研究所)の 電子的認証に関するガイドライン で パスワード の定期的な変更は必要ない という従来の指針と真逆の内容に変更され、日本の総務省も パスワード の定期的な変更は不要 という指針を示している。
この方針転換は定期的なパスワード変更をユーザーに強制することで、単純で覚えやすいパスワードの使用・パスワードの使い回し・パスワードのパターン化 など、パスワードが脆弱化する本末転倒な状況が危惧されたためで、パスワードの変更にリスクがあるわけではない。
パスワードの管理
- ウェブブラウザ
デフォルト設定だとブラウザを起動できれば保存されているログイン情報を簡単に取得できるため、Windows Helloの有効化や、マスターパスワードを設定して保護が必要。 - パスワードマネージャーアプリ
ログイン情報を暗号化してサーバやローカルディスクに保存し、ログインが必要なサイトで シームレスにログインできるため、複雑で使い回しのないパスワードをセキュアに管理できる。 - Excelなどでの管理
保存するアカウント情報が少なければ対応できるが、数百のアカウント情報の管理ツールとして非効率的。 - 紙での保管
定期的な更新があるランダムで複雑なパスワードを多数管理するのは不向き。
実績のあるパスワード管理アプリ LastPass でパスワード 漏洩の脆弱性 が発見されたように、パスワードマネージャーも万全ではないため IPAは使用を推奨していない。
漏洩パスワードの確認
';--have i been pwned? はセキュリティ研究者 トロイ・ハント氏が運営するアカウント情報の流出確認サイトで、メールアドレスやパスワードが過去に侵害されたか確認できる。
ブラウザでの確認
ブラウザにアカウント情報を保存している場合は、設定画面の「安全確認」 や「パスワード」の項目でパスワードの侵害状況を確認できる。
パスワードマネージャーの確認
RoboForm/ Enpass などのパスワードマネージャー は、侵害された可能性のあるパスワードと脆弱なパスワードに対して警告する機能を実装している。
パスワードレスの認証方法
デジタル化が進んだ現在、インターネット黎明期から使用されてきた ID・パスワードによる 知識認証は 安全性 と 管理面で多くの問題に直面しており、FIDO Alliance などがパスワードレスのセキュアでユーザーフレンドリーな認証方法の開発に取り組んでいる。
Windows 10 (1903以降)/ 11 が実装している生体認証 Windows Hello は FIDO2 認定を取得しており、FIDO をサポートしているオンラインサービスやアプリで利用できる。
FIDO認証
FIDO Alliance(ファイドアライアンス)が開発した認証方法で、従来のパスワード認証が ID・パスワードをサーバが保持して入力されたログイン情報と照合していたのに対し、FIDO認証はログイン時に生体認証で暗号キーを使用した署名をサーバに送信し、サーバは受信した署名を復号して照合するため、パスワード認証のようにユーザーとサーバで同じ情報を共有しておらず、情報漏洩のリスクが大幅に低減する。
関連記事
4K UHD Blu-ray を視聴するためのハードウェア条件を回避して、Blu-rayと同じ用にパソコンでの取り扱いが可能になる UHD Friendlyドライブのファームウェアダウングレードの手順
DVD/ BDのコピーガード解除機能を実装した コピー・リッピングソフトや動画エンコーダー、DRM解除アプリ、動画ダウンローダーなどをリーズナブルプライスでリリースしている Leawo のセール情報と購入手順・ライセンス登録方法
DVDFabで開催中のセール情報のほか、製品の購入手順とサブスクリプションのキャンセル方法、製品購入後に必要な DVDFabアカウントの登録とライセンスの認証方法を紹介。
DVD/ Blu-ray のコピーガードを解除する専用ツール AnyDVD を開発していた SlySoftが AACS LAと 米国通商代表の働きかけによる外交圧力で活動を停止