パスワードの管理と問題点

2019.09.29

Password-icon

パスワードの問題点

  • 単純なパスワードの使用や使い回しによるセキュリティリスク
  • 不正アクセスなどによる情報漏洩のリスク
  • 設定したパスワードの管理
  • 多段階認証はセキュリティレベルが向上する反面、ログインまでのプロセスが増える

2000年前後にはパスワードをパソコンに保存することはタブーとされ、紙に記載して保管することが推奨されていたが、ランダムで複雑なパスワードを多数管理するのは不向きで、パスワードを書いた付箋をモニタに貼り付けるなど本末転倒なことにもなりかねない。

危険なパスワード

CyberGhostの記事 によると最も侵害されたパスワードは 123456 で、2019年には 2,320万件の侵害が発生しており、qwerty が 400万件、password は 360万件の侵害が発生してる。

  • 世界的に侵害されているパスワード
    123456・abc123・password・111111・qwerty・1qaz2wsx・sunshine・iloveyou ・admin

ExpressVPNの記事 では日本人は意味のある単語よりもキー配列を利用したパスワードを選ぶ傾向があると指摘されている。

  • 日本で多く侵害されているパスワード
    12345678・password・123456789・159753qq・asdf12345・asdfghjk・1qaz2wsx・aa123456

多くのログインIDはメールアドレスなので、メールアドレスを入手して公表されている危険なパスワードを総当りすれば確率的に何人かは突破でき、特定の人物を標的にした場合は誕生日など個人に関連したキーワードの総当りで突破されているケースも多い。

安全性と利便性のジレンマ

security-and-digital-stress-003

ExpressVPN が公開した【調査結果】パスワードの再設定にどれだけの時間を浪費している? は欧米のデータになるが、 実に半数近くの人が 月に 1 回以上パスワードをリセットしており、パスワードの管理が大きなデジタルストレスになっている。

Password-manage-008

IPA(情報処理推進機構)でも 暗号化されたファイル として保管することを推奨 しているが、具体例として掲載しているパスワードの管理方法は、表計算ソフトを使用してファイルをパスワード保護する非効率的なもので、パスワード保護されたエクセルや Zipファイルの安全性にも疑問があり、実務レベルで安全に効率よく運用できる管理方法を提示できていない。

定期的なパスワードの変更

Password 2025 001

パスワードの定期的な変更に関しては 2017年 6月の NIST(米国国立標準技術研究所)の「電子的認証に関するガイドライン(NIST SP 800-63)」で パスワードの定期的な変更は必要ない という従来の指針と真逆の内容に変更され、日本の総務省も「パスワードの定期的な変更は不要」という指針を示している。

この方針転換は定期的なパスワード変更をユーザーに強制することで、単純で覚えやすいパスワードの使用・パスワードの使い回し・パスワードのパターン化 などパスワードが脆弱化する本末転倒な状況が危惧されたためで、パスワードの変更にリスクがあるわけではない

パスワードの管理

  • ウェブブラウザ
    デフォルト設定だとブラウザを起動できれば保存されているログイン情報を簡単に取得できるため、Windows Helloの有効化やマスターパスワードを設定して保護が必要。
  • パスワードマネージャーアプリ
    ログイン情報を暗号化してサーバやローカルディスクに保存し、ログインが必要なサイトでシームレスにログインできるため、複雑で使い回しのないパスワードをセキュアに管理できる。
  • Excelなどでの管理
    保存するアカウント情報が少なければ対応できるが、数百のアカウント情報の管理ツールとして非効率的。
  • 紙での保管
    定期的な更新があるランダムで複雑なパスワードを多数管理するのは不向き。

実績のあるパスワード管理アプリ LastPass でパスワード 漏洩の脆弱性 が発見されたように、パスワードマネージャーも万全ではないため IPAは使用を推奨していない。

漏洩パスワードの確認

パスワードの管理と漏洩リスク - Password Manage-005

‘;–have i been pwned? はセキュリティ研究者 トロイ・ハント氏が運営するアカウント情報の流出確認サイトで、メールアドレスやパスワードが過去に侵害されたか確認できる。

ブラウザでの確認

Password-001

ブラウザにアカウント情報を保存している場合は、設定画面の「安全確認」 や「パスワード」の項目でパスワードの侵害状況を確認できる。

パスワードマネージャーの確認

Password-002

RoboForm/ Enpass などのパスワードマネージャー は、侵害された可能性のあるパスワードと脆弱なパスワードに対して警告する機能を実装している。

StreamFab 800x120-25323
MusicFab 800x120
Epubor 800x120-25323
CleverGet 800x120-25323
DVDFab 800x120-25323
StreamFab 800x120-25323
MusicFab 800x120
Epubor 800x120-25323
CleverGet 800x120-25323
DVDFab 800x120-25323

パスワードレスの認証方法

Windows-Hello-045

デジタル化が進んだ現在、インターネット黎明期から使用されてきた ID・パスワードによる 知識認証は安全性と管理面で多くの問題に直面しており、FIDO Alliance などがパスワードレスのセキュアでユーザーフレンドリーな認証方法の開発に取り組んでいる。

Windows 10 (1903以降)/ 11 が実装している生体認証 Windows HelloFIDO2 認定を取得しており、FIDOをサポートしているオンラインサービスやアプリで利用できる。

FIDO認証

FIDO Alliance(ファイドアライアンス)が開発した認証方法で、従来のパスワード認証が ID・パスワードをサーバが保持して入力されたログイン情報と照合していたのに対し、FIDO認証はログイン時に生体認証で暗号キーを使用した署名をサーバに送信し、サーバは受信した署名を復号して照合するため、パスワード認証のようにユーザーとサーバで同じ情報を共有しておらず、情報漏洩のリスクが大幅に低減する。

備考

近年はセキュリティ対策としてスマホやメールを利用した二段階認証が多くなり、VPNを利用していると不正アクセスと認識されてアカウントがロックされるなどログインが煩わしく、FIDOもパソコンでは指紋認証や顔認証をするためのデバイスが必要な上、対応しているサイトも限定的で、パスワード問題は依然として解決していないので、当面は信頼できる パスワードマネージャー で管理するのがベター。

関連記事

投稿は見つかりませんでした