パスワードの管理と問題点

Password-icon

パスワードの問題点

  • 単純なパスワードの使用や、パスワードの使い回しによるセキュリティリスク
  • 不正アクセスなどによる情報漏洩のリスク
  • 個別に複雑なパスワードを設定すると管理が煩雑
  • 設定したパスワードの保管とセキュリティ対策
  • 多段階認証はセキュリティレベルが向上する反面、ログインまでのプロセスが増える

2000年前後にはパスワードをパソコンに保存することはタブーとされ、紙に記載して保管することが推奨されていたが、ランダムで複雑なパスワードを多数管理するのは不向きで、パスワードを書いた付箋をモニタに貼り付けるなど本末転倒なことにもなりかねない。

危険なパスワード

CyberGhostの記事 によると最も侵害されたパスワードは 123456 で、2019年には 2,320万件の侵害が発生しており、qwerty が 400万件、password は 360万件の侵害が発生してる。

  • 世界的に侵害されているパスワード
    123456・abc123・password・111111・qwerty・1qaz2wsx・sunshine・iloveyou ・admin

ExpressVPNの記事 では、日本人は意味のある単語よりもキー配列を利用したパスワード を選ぶ傾向があると指摘されている。

  • 日本で多く侵害されているパスワード
    12345678・password・123456789・159753qq・asdf12345・asdfghjk・1qaz2wsx・aa123456

多くのログインIDはメールアドレスなので、メールアドレスを入手して公表されている 危険なパスワード を総当りすれば確率的に何人かは突破でき、特定の人物を標的にした場合は誕生日など個人に関連したキーワードの総当りで突破されているケースも多い。

安全性と利便性のジレンマ

security-and-digital-stress-003

ExpressVPN が公開した【調査結果】パスワードの再設定にどれだけの時間を浪費している? は欧米のデータになるが、 実に半数近くの人が 月に 1 回以上パスワードをリセットしており、パスワードの管理が大きなデジタルストレスになっている。

Password-manage-008

IPA(情報処理推進機構)でも 暗号化されたファイル として保管することを推奨 しているが、具体例として掲載しているパスワードの管理方法は、表計算ソフトを使用してファイルをパスワード保護する非効率的なもので、パスワード保護されたエクセルや Zipファイルの安全性にも疑問があり、実務レベルで安全に効率よく運用できる管理方法を提示できていない。

定期的なパスワードの変更

パスワードの定期的な変更に関しては、 2017年 6月の NIST(米国国立標準技術研究所)の 電子的認証に関するガイドラインパスワード の定期的な変更は必要ない という従来の指針と真逆の内容に変更され、日本の総務省も パスワード の定期的な変更は不要 という指針を示している。

この方針転換は定期的なパスワード変更をユーザーに強制することで、単純で覚えやすいパスワードの使用・パスワードの使い回し・パスワードのパターン化 など、パスワードが脆弱化する本末転倒な状況が危惧されたためで、パスワードの変更にリスクがあるわけではない

パスワードの管理

  • ウェブブラウザ
    デフォルト設定だとブラウザを起動できれば保存されているログイン情報を簡単に取得できるため、Windows Helloの有効化や、マスターパスワードを設定して保護が必要。
  • パスワードマネージャーアプリ
    ログイン情報を暗号化してサーバやローカルディスクに保存し、ログインが必要なサイトで シームレスにログインできるため、複雑で使い回しのないパスワードをセキュアに管理できる。
  • Excelなどでの管理
    保存するアカウント情報が少なければ対応できるが、数百のアカウント情報の管理ツールとして非効率的。
  • 紙での保管
    定期的な更新があるランダムで複雑なパスワードを多数管理するのは不向き。

実績のあるパスワード管理アプリ LastPass でパスワード 漏洩の脆弱性 が発見されたように、パスワードマネージャーも万全ではないため IPAは使用を推奨していない。

漏洩パスワードの確認

パスワードの管理と漏洩リスク - Password Manage-005

‘;–have i been pwned? はセキュリティ研究者 トロイ・ハント氏が運営するアカウント情報の流出確認サイトで、メールアドレスやパスワードが過去に侵害されたか確認できる。

ブラウザでの確認

Password-001

ブラウザにアカウント情報を保存している場合は、設定画面の「安全確認」 や「パスワード」の項目でパスワードの侵害状況を確認できる。

パスワードマネージャーの確認

Password-002

RoboForm/ Enpass などのパスワードマネージャー は、侵害された可能性のあるパスワードと脆弱なパスワードに対して警告する機能を実装している。

パスワードレスの認証方法

デジタル化が進んだ現在、インターネット黎明期から使用されてきた ID・パスワードによる 知識認証は 安全性 と 管理面で多くの問題に直面しており、FIDO Alliance などがパスワードレスのセキュアでユーザーフレンドリーな認証方法の開発に取り組んでいる。

Windows-Hello-045

Windows 10 (1903以降)/ 11 が実装している生体認証 Windows HelloFIDO2 認定を取得しており、FIDO をサポートしているオンラインサービスやアプリで利用できる。

FIDO認証

FIDO Alliance(ファイドアライアンス)が開発した認証方法で、従来のパスワード認証が ID・パスワードをサーバが保持して入力されたログイン情報と照合していたのに対し、FIDO認証はログイン時に生体認証で暗号キーを使用した署名をサーバに送信し、サーバは受信した署名を復号して照合するため、パスワード認証のようにユーザーとサーバで同じ情報を共有しておらず、情報漏洩のリスクが大幅に低減する。

関連記事
memo-app-con

メモアプリの安全性と代表的なメモアプリ

暗号化されたストレージにデータを保存するアプリと、エンドツーエンドで暗号化されるゼロナレッジのメモアプリの違いや、ゼロナレッジでプライバシーを重視した代表的なメモアプリを紹介。

DVDFab 13.0 icon

DVDFabの最新セール情報と購入方法

Index DVDFab の特徴DVDFab で開催中のセールセール内容DVDFab 購入方法 – 無期限版DVDFab 購入方法 – サブスクリプション版メンバー登録 (アカ…