皆さんイカがお過ごしでしょうか?のぶです。
実社会でもネットショッピングでも使われる「パスワード」今回はセキュリティの基本であるパスワードを説明します。
なぜパスワードが必要か?
銀行の暗証番号、Amazonでのネットショッピング、Wifiの設定とありとあらゆるところでパスワードが求められます。
なぜパスワードが求められるのでしょうか?
本人確認としてのパスワードが使われます(正確にはサービス利用者の確認)
上記に書いている銀行、Amazon、Wifiはどれも機械相手の作業になります。ここが人間、知り合い相手であれば顔を見ればパスワードなんて必要ありません。
しかし、今は猫も杓子もIOTと言う機械が大前提のネット社会であるため、機械が出来る本人確認であるパスワードが利用されています。
イオン銀行だったら、イオン銀行と契約した際にパスワードがあるので、イオン銀行のサービスであるATMからお金を引き出す際に、本人確認としてパスワードをイオンカードと共に求められます。
Amazonだったら、会員登録時に連絡用のメールアドレスと共にパスワードを設定しますので、サービス利用するためにAmazonにログインする際に本人確認としてメールアドレスとパスワードを求められます。
Wifiでは、電波の名前であるSSIDと3DSなどWifi端末に設定するさいに、Wifiというサービス利用をおこなうためにパスワードを求められます。
どれもサービス利用者であるか?の判定としてパスワードがもとめられます。
このパスワードが第三者というか悪い人にもれると、イオン銀行からお金が全ておろされたり、Amazonから身に覚えのない請求が来たり、Wifiは最悪使えなくなったりします。
パスワード以外に方法は無いのか?
Iphone5sあたりから搭載され色々なスマホでも使われている「指紋認証」、新しいIphoneでは顔認証も?と噂されてます。
しかし、これらは指紋が通らなかったりするのと、Iphoneだと再起動時には指紋認証ではなく、パスワードを求められます。
指紋認証は、どうしても本人確認失敗します。そのための対応策としてパスワードでの認証があります。
新しい技術で100%認証が出来るようにならない限り、救助策としてパスワードが使われるので、人間がパスワードの呪縛から逃れるのは難しいと思われます。
パスワードの基礎知識
IPAというサイトから引用します
通常 8文字以上をお勧めします。:
数字のみ、英文字のみではなく、記号や大文字小文字を組み合わせる。
ユーザIDと同じものや、名前、電話番号、誕生日などを避ける。
辞書に載っているような単語は避ける。
メモしない。メモしなければ覚えられないようなものは不適切である。Q0-9パスワードの長さはどの程度必要でしょうか? 情報処理推進機構 FAQより引用
説明します
①文字の長さが8文字以上
Department of Defense Password Management Guidelineというのが有名だそうです。
米国の国防総省による1985年出版のガイドラインM = log(L*R/P) / log(A)
L=パスワードの有効期間
R=パスワード推定回数
P=パスワードが破られる確率
A=文字種類富士通のセキュリティサービスのページにある診断結果報告書サンプルは以下のように説明しています
L=3年間
R=1分間120回試行
P=1/1000000
A=62文字; a-z, A-Z, 0-9
M=7.97
つまり、3年間の機関で安全なパスワードにするためには少なくとも8桁以上にする必要があります。
根拠が1985年というスマホもインターネットもなかった時代になります。現在では8桁以上の長ければ長い方が良いと思います。
2017年の今なら10桁以上がベターな気がします。
Webサイトでどのくらいでパスワードを特定出来るか?と言うサイトがありました。
Webサイト:HOW SECURE IS MY PASSWORD?
そこで試してみると
桁数 | 試したパスワード | 時間 |
8桁 | Aaa111!# | 9時間 |
10桁 | Aaa111!!!! | 6年 |
12桁 | Aaa111!!!!!! | 34000年 |
8桁までは全て共通です。しかし、そこに2~4文字足していくと、特定にかかる時間が凄く伸びています。
ということで、10桁以上が望ましく12桁あれば当分大丈夫かと思います。
②数字のみ、英文字のみではなく、記号や大文字小文字を組み合わせる。
文字の種類 | 試したパスワード | 時間 |
小文字のみ | abcdefghij | 59分 |
大文字小文字 | Abcdefghij | 1ヵ月 |
大文字のみ | ABCDEFGHIJ | 59分 |
数字のみ | 1234567890 | INSTANTLY(即座) |
大文字小文字、数字 | Abcd123456 | 8ヵ月 |
大文字小文字、数字、特殊記号 | Abcd1234!$ | 6年 |
先ほどのWebサイト:HOW SECURE IS MY PASSWORD?を使って試してみました。
面白かったのは数字のみ、これは数字は10個しかないので、即座に破れますということですね。
銀行の暗証番号とか4桁の数字のみなので、スゲーあぶないですね。
英語でも大文字のみ、小文字のみだと1時間で破られますが、大文字小文字を組み合わせると一ヶ月の時間がかかると出てます。
アルファベットは26文字、大文字小文字組み合わせると52文字と組み合わせのパターンが増えるので、それだけ時間がかかるということですね。
でも、同じ桁でも特殊記号を含めると8ヵ月から6年と跳ね上がります。
本当は暗号化の種類やパソコンの性能などで解読時間は大きく変わります。
しかし、この表をみるとわかるように色々な種類の文字を組み合わせて作ると、強いパスワードになるのは変わりません。
③ユーザIDと同じものや、名前、電話番号、誕生日などを避ける。
先日女優さんのSNSなどをハッキングして不正ログインしたというニュースがありました。
上記のように総当たりでパスワードを見つけようとすると時間がかかります。
そこで誕生日や名前など忘れにくいものをパスワードにする人が多いので、個人情報をもとにハッキングする悪い人がいたと言うことですね。
④辞書に載っているような単語は避ける。
上記のような長いパスワードを使われると時間がかかります、そのためある程度ヤマをはってパスワードを見つけようとする手法があるみたいですね。
ちなみに2014年、2015年人気のパスワード1位は「123456」とのこと、一瞬で破られる奴ですね!
ハッキングする人たちはこの手の情報をもとにリストアップして、それをもとにお仕事?しているんですねー
⑤メモしない。メモしなければ覚えられないようなものは不適切である。
これは正論ですが無理ですね。
今現在ありとあらゆるものにパスワードは使われています。しかも、新しいサービスが増えて行けば増えて行くほど、パスワードの数が増えて行きます。
同じパスワードを全てのサービスで使うと言う、暴挙に出ない限りは、メモしないと覚えれないとおもいます。
僕はExcelにリストして管理しています(゚∀゚)
でも、これはExcelを誰かに奪われるとおれはおしまいです。 ぱすわーど多分100超えるんじゃないかな~ 覚えれません。
⑥パスワードを別のサイト(サービス)に使い回しをしない
たとえば、Yahooのパスワード「1234」、Lineのパスワードで「1234」として、インスタグラムのパスワードを「1234」とします。
YahooがハッキングされてIDとパスワードが流出すると、Lineとインスタのパスワードも流出したことになります。
そのためハッキングする人は、流出した情報をもとにあらゆるサイト(サービス)で試すので、サイトごとにパスワードを変えるべきですね。
Yahoo!JapanとアメリカのYahooは、ほぼ別会社になっているが、アメリカのYahooは情報流出をやらかしたことがある。
大手企業と言えど油断禁物ということですね。
予想以上に長くなった、パスワード作成は次に回します
今回はこの辺りで イカよろしくー!
金庫とメモ帳で管理出来ればある意味メモ帳は最強。
下記メモ帳は、パスワードに特化したメモ帳である。
コメント