パスワード
パスワード(英: password)とは
概説
[編集]通常はユーザIDと対にして用いる。あらかじめ登録されているそのユーザIDのパスワードと、操作者によって入力されたパスワードが一致していることによって、操作者がそのユーザIDの使用者本人であると認識する。
パスワードのうち、数字のみのものを特に
文字列の長さが数十文字以上と長いパスワードのことを特にパスフレーズと呼ぶことがあり、高いセキュリティが必要なシステムで用いられる。
多くのシステムでは、パスワードに用いることのできる文字はアルファベット(ラテン文字)26文字(大文字・小文字が区別される場合は52文字)、一部の記号に限定されているが、マルチバイト文字を用いることができるものもある。
ガイドライン
[編集]総務省は安全なパスワードの設定・管理のガイドラインを発表している[2]。
以下のパスワードは危険である[2]。
- IDと同じ文字列
- 自分や家族の名前、電話番号、生年月日
- 辞書に載っているような一般的な英単語ひとつだけ
- 同じ文字の繰り返しやわかりやすい並びの文字列
- 短すぎる文字列
パスワード管理として、定期的な変更は不要としている[2][3]。
パスワードへの攻撃
[編集]パスワードやクレジットカードの番号を入手することで、他人になりすまして様々な利益が得られることから、パスワードを不正調査するということがしばしば行われてきた。
本人しか知らないことが前提になっているため、入力した内容は画面上には伏せ字で表示される。例えば「ABCD」と入力しても「●●●●」と表示され、入力した文字数しか分からないようになっている。
理論上は総当りですべての文字列を試してみれば、いつかは正しいパスワードを発見可能なことは容易に分かるが、大変な労力が必要なので実際はあまり行われない。
また、複数回間違ったパスワードを入力すると、システムがそれ以降の入力を拒否するようになっている場合もある(金融機関の現金自動預け払い機では、間違った暗証番号を3回入力すると以降はそのカードは有人窓口以外での取り扱いができなくなってしまう。ドアの電子錠では回路がクラッキングと判断して自己破壊するものもある。また、AppleのiPhoneやiPadでは間違えた回数によって、利用できない時間が変わったり、設定によっては10回間違えるとデバイスのデータが消去されることもある)。
パスワードは任意の文字列で構成されるが、完全にランダムということはほとんどなく、実際は覚えやすい文字列で構成される場合が多い。その性質を利用して、辞書に載っている単語や人名を入力することで、パスワードを発見する効率を高めるソフトウェアもある。推測されにくいパスワードにするよう求められることが多く、新規でパスワードを作る際に簡単な文字列を設定すると設定自体をコンピューターに却下されたり、サイトごとに異なるパスワードにするよう求めることもある。結果的にパスワードを忘れてしまい、前述したように間違ったパスワードを複数回入力してロックされてしまうといった問題点もある。
ただし桁数の少ない暗証番号は、照合時の入力可能回数に制限(通常3回まで)が設定されている。
キャッシュカードや携帯電話端末の暗証番号は僅か4桁だけしかない場合が多く、0000〜9999の、最大10000回試せば、暗証番号を発見できることから、番号を忘れてしまった場合に、全部の番号を試すソフトウェアが存在する。
さらに、パスワードの発見には「フィッシング」と呼ばれる手法も存在する。これは、偽のウェブサイトやメールを使ってユーザーにパスワードを入力させる方法である。例えば、銀行やオンラインサービスを装ったメールを送り、リンクをクリックさせて偽のログインページに誘導する。このページにパスワードを入力すると、攻撃者にその情報が渡る仕組みである。[4]
また、パスワードの安全性を高めるために、二要素認証/2段階認証が推奨されている。[5]これは、パスワードに加えて、スマートフォンに送られる認証コードなど、追加の認証手段を必要とするものである。これにより、パスワードが漏洩しても、攻撃者がアカウントにアクセスするのを防ぎやすくすることができる。
パスワードを管理するツールも存在する。これらのツールは、複雑で推測されにくいパスワードを自動的に生成し、安全に保管する機能を持っている。ユーザーは、マスターパスワード一つを覚えておけば、他のすべてのパスワードを管理できるのである。Apple社のiPhoneにはこの機能がデフォルトで搭載されている。[6]
脚注
[編集]- ^ 英: personal identification number
- ^ a b c “安全なパスワードの設定・管理”. 総務省. 2024年10月7日閲覧。
- ^ ““パスワード変更”をユーザーに定期的に要求はダメ 米国政府機関が発表 「大文字や数字を入れろ」の強制もNG”. ITmedia 2024年10月7日閲覧。
- ^ “フィッシング詐欺とは?実例と手口から学ぶ対策と注意事項”. jp.norton.com. 2024年9月14日閲覧。
- ^ “二段階認証とは?仕組みやメリット、二要素認証との違いについて徹底解説|サイバーセキュリティ.com”. cybersecurity-jp.com. 2024年9月14日閲覧。
- ^ 日経クロステック(xTECH) (2023年3月8日). “iPhoneの「パスワード」機能でパスワードを簡単・安全に管理しよう”. 日経クロステック(xTECH). 2024年9月14日閲覧。
関連項目
[編集]- 生体認証(パスワードの入力に加え、指紋や虹彩などの生体による認証を組み合わせる多要素認証も多くなっている。)
- キーワード(パスワードと混同される場合があるが、意義や目的が異なる。)
- アイデンティティ管理
- パスワードクラック
- 総当たり攻撃
- 辞書攻撃
- キーロガー
- クラッキング
- 合言葉
- ワンタイムパスワード
- セキュリティトークン
- パスワード問題
- CAPTCHA