安全なパスワードを作る方法

2019年のパスワードの強度ヒーロー

パスワードの「強度」は、ほとんどの人にとってパスワードに含まれる文字タイプのバラエティによって決まると理解されています。しかし、サインアップフォームは複雑さがセキュリティであると考えていますが、攻撃者はそう考えていません。現代の脅威モデルに対抗するには、複雑さだけでは不十分です。強力なパスワードは何によって作られるのでしょうか？まずは、ほとんどの人が直面している実際の脅威モデルを考慮する必要があります。

パスワードの複雑さは本質を見失っている

パスワードの「強度」は、一般的に複雑さや、シンボル、数字、大文字、小文字の使用量で測定されるランダム性によって決まります。しかし、パスワードにいくつかの異なる文字を追加したところで、その「強度」は実際には意味あるようには増しません。そのぱっと見の緑の「強度」バーが示していることとは異なります。複雑さは総当たり攻撃の難易度を上げますが、その種の攻撃は一般的ではありません。

代わりに、資格情報の盗難は、巨額のデータ漏洩や大規模な組織からの流出で発生します。攻撃者がプレーンテキスト形式でパスワードを持っている場合、パスワードの強度は役に立ちません。

ユニークなパスワードを使う

ほとんどの人は「資格情報の充填」と呼ばれるものに非常に脆弱です：漏洩した資格情報が人気プラットフォームで再利用されることで、パスワードの再利用の傾向を利用します。これは「弱い」パスワードよりもはるかに大きな危険です。結局のところ、「超強力」な完全にランダムなパスワードをすべてのプラットフォームで使用することは、一度の漏洩で悲惨な結果を招きます。

パスワードの強度を単一の特性として考えるのではなく、認証システムの強度を考える必要があります。現代のパスワードはそのシステムを作り出すものであり、そのように考慮されるべきです。ユニークなパスワードを使用するのは、パスワードマネージャーを使えば遥かに簡単ですので、まだであれば今日から始めましょう。

こちらもお読みください: ウェブ、デスクトップ、モバイル向けのベストパスワードマネージャー10選

複雑さよりも長さが重要

長年、私たちは複雑さをパスワードの最も重要な要因として考えるように訓練されてきました。そして、総当たり攻撃がまれであることは理解していますが、実際には長さがはるかに重要です。

2019年のパスワードの強度 Xkcd漫画

パスワードの長さは、クラッキング時間との指数関係を持っているため、長さを適度に増やすことは、クラッキング時間を大幅に増加させる可能性があります。一方、複雑さはクラッキング時間との線形関係があります。

この例を見てみましょう：高性能なクラッキングマシンは、*nRyU86) のように見かけが複雑なパスワードをわずか80分で壊すことができます。長さを1つの大文字に増やすと、その時間はほぼ36時間に延びますが、文字をシンボルに変更してもクラッキング時間に意味のある変化はありません。

長さの指数的な力を最大限に活用しましょう。例えば、知られている辞書の単語を使って、16文字の長さの4単語のパスフレーズはどうでしょう？辞書攻撃（既知の単語のデータベースを使ってパスワードを推測する攻撃）を考慮しても、そのパスワードをクラッキングするには90億年かかります。

2019年のパスワードの強度クラッキング時間表

複雑さは忘れましょう。最良のパスワードは実際にはパス- フレーズ です。同様に強力な複雑なパスワードを覚えることはできません。しかし、脳は面白いストーリーや驚くべき画像を好みます。ランダムに生成されたフレーズのために非常に記憶に残るストーリーを生成すれば、それを忘れるのは難しいでしょう。

こちらもお読みください: 文はより良いパスワードを作るのか？

完全にランダムなパスフレーズの生成は重要です。自分に関連する単語（例えば誕生日の月）を選ぶと、パスフレーズが推測しやすくなります。EFFのパスワードダイスを使用して、安全かつ確実にランダムなパスフレーズを生成しましょう。

すべての二要素認証システムを有効にする

すべてのシステムは漏洩します。パスワードの強度はあなたを守りません。じゃあどうやって自分を守ることができるのでしょうか？二要素認証（2FA）システムは、追加のセキュリティ層を提供します。2FAは、あなたが知っているもの（つまりパスワード）とあなたが持っているもの（つまり携帯電話）の2種類の資格情報を要求します。ほとんどの2FAシステムでは、これらのコードはリモートサーバーによって生成され、サーバーはログイン時にユーザーにアクティブなコードを送信します。

2019年のパスワードの強度二要素認証