2020-12-30

こんなパスワードはダメだ!2020

投稿者: KuRo

パスワード ちゃんと管理してますか?
最近ではカンタンで単純なパスワードを付けないようにするのは、当たり前になってきましたね。

世の中では、こんなパスワードはみんな付けてるから気をつけようね。っていう記事があるんですよ。
逆に言うと、そんなパスワードを試してみたら、ワンチャン成功しちゃうかもよ、ってことでもあるんです。

ということで、こんなパスワードはダメだ!2020 サイトから拾った情報や、体験談を踏まえてご紹介します。

ウェブで公開されているダメなパスワードランキング

参考:https://www.secureworldexpo.com/industry-news/worst-passwords-of-2020-list

SECUREWORLD は、2020/11/20 「Worst Passwords of 2020 List(ダメなパスワード2020)」を以下のように発表しています。

数字だけ

1234567890 など、おもに連番のパスワードがランキング上位に挙がっています。
もちろん、堂々の第1位は

  • 12345

でした。

単純な英単語や、英単語に数字を加えただけ

今回第3位のダメなパスワードに picture1 がランクインしています。
何かトレンドがあったんでしょうかね?

その他殿堂入りしている以下のような単語が並んでいます。

  • password
  • password1
  • qwerty
  • iloveyou

流行りモノ、好みなど

さて、ここら辺から、該当する人がいるんじゃないですか?
KuRo
KuRo

流行りものや、誰しもが好む単語がランキングに入ってきています。

  • pokemon
  • superman
  • naruto
  • starwars
  • soccer
  • baseball
  • chocolate
  • cheese
  • fuXXyou(XXは伏字です。本来の文字はこれを意味する文字です。)

私が不正アクセスをされた経験談

10年近く前ですが、私が利用していたとあるサービスが海外から不正にアクセスされ、多額の請求が来たことがありました。

金銭的な実害にもなり得た苦い思い出です。
KuRo
KuRo

発覚の経緯

そのサービスとは、みなさんがよく知る「インターネットIP電話」「無料で通話」サービスの草分け的な、水色のトレードマークのあのサービスです。

通勤のためバスを待っていると、1件の高額利用通知で気づきました。
なんと、香港に対して10回ほど通話されてしまい、計10万円ほどの請求がありました。

原因分析

当時は私自身もセキュリティに対して意識が低く、たくさんのサービスで同じユーザ名とパスワードを同じものに統一していました。

なにせ、自分がどのサービスに加入しているかなんて、覚えていられない、という状況でした。
危険性は認識しつつも、パスワードをそれぞれ別の文字で設定するなんて、考えられませんでした。

しかし、当時私が利用している1つのサービスで、ユーザ情報の漏洩があったことが後程わかりました。
その情報に基づいて、私は不正アクセスの被害につながったのだと分析しています。

こんなパスワードはダメだ!2020 presented by TechnoKuRo

参考元サイトや、海外サイトで紹介されている実例を紹介しました。
ここからは、私自身の経験も踏まえ、こんなパスワードはダメだ!をご紹介します。

英字大文字、英字小文字、数字、記号など、文字種が3種類未満のパスワードはダメ!

まだまだ多くのサービスでは、記号をパスワードに設定できないところもあります。
そのようなサービスでは仕方ないので、3種類をOKとしますが、できれば上記4種類すべてが含まれるパスワードを最低ラインと考えたいです。

文字種ごとにカタマリになっているパスワードは避けよう

文字種の連続のカタマリを分散したほうが、より類推されにくいです。
パスワード辞書には、文字種がカタマリになっているパスワードが大半を占めています。

ダメな例
[大文字][小文字][小文字][小文字][数字][数字][数字][数字]
良い例
[小文字][大文字][小文字][記号][小文字][数字][数字][大文字]

ほかのサービスと同じユーザ名やパスワードに設定するはダメ!

いくらパスワードが複雑でも、他のサービスやサイトと同じである場合、どちらかで漏洩があると、他方も攻撃対象になります。

KuRo
KuRo
パスワードを共通で設定すると、あなたのセキュリティレベルは、そのパスワードが設定されているサービスの内、最も低いセキュリティレベルのサービスに一致します。

共通したパスワードを設定したサービスのうち、特にセキュリティレベルが低いサービスがあったら、そんなサイトは、攻撃者にとっては格好の攻撃対象です。
そこからGoogleや楽天など、さまざまな権利関係に及ぼすサービスが乗っ取られるなんてことも考えられます。

意味のある英単語、英文は避けよう

世の中には、パスワードを調査したり、解析ツールがたくさんあります。

パスワード解析ツールの例
  • John the Ripper
  • cracklib
  • hashcat

これらは、よくパスワードとして使われる文字としてまとめられた「パスワード辞書」を引用したり、組み合わせ、あるいは無作為に並べ替えるなどをしてパスワードを解析します。
パスワード辞書には、単体で意味を持つ英単語がずらり並んでいます。

そのような単語を避けることで、辞書攻撃をかわすことができます。

まとめ

2020という題名にはしたものの、パスワードが類推されにくくする対策はいつの時代もあまり変わりません。

今回は、類推されやすいパスワードを、以下をテーマに体系立ててご紹介しました。

ダメなパスワード体系
  • 単純なもの
  • 複数のサービスで同じものを使う
  • 辞書攻撃に弱いもの

このようなパスワードを避けて設定することで、ツールを使って一瞬で解析されるということは避けられます。

もちろん、2段階認証や、生体認証など、強固な認証方式を採用することも大切です。

現在では、パスワードにとって代わる対策は考えられつつあるものの、決定打となるものがまだ出てきていません。
今後もパスワードとは付き合っていかなければなりませんね。

自分の証明であるパスワードですから、しっかり管理していきたいですね。