検索
ニュース

強力で使いやすいパスワードは「不必要に複雑にしない」「使用期限を設定しない」、専門家が作成方法を伝授「初めて飼ったペットの名前」を設定するのはNG

スロバキアのセキュリティ企業ESETは、公式ブログWeLiveSecurity.comで強力かつ使いやすいパスワードの作り方を紹介した。

Share
Tweet
LINE
Hatena

 スロバキアのセキュリティ企業ESETは2023年5月4日(現地時間)、公式ブログWeLiveSecurity.comで強力かつ使いやすいパスワードの作り方を紹介した。同社は「近年、覚えるべきパスワードは増加傾向にある」と指摘する。その中で、「一部のセキュリティ専門家は、これまでのパスワードの管理方法は持続不可能であると指摘している」とも述べ、強力かつ使いやすいパスワードの作り方を6つ挙げた。

1.不必要にパスワードを複雑にしない

 パスワードを設定する際、複雑なものに設定することは、もはや必須ではないとESETは訴える。

 大文字と小文字の両方を含めたり、少なくとも1つの数字と特殊文字を含めたりといったやり方は古いという。なぜなら、こうしたルールは強力なパスワードの設定を促進せず、むしろ弱くて覚えにくいパスワードにつながってしまうからだ。そのため、同社では「パスワードは適度に簡潔なものがいいだろう」としている。

2.パスフレーズに切り替える

 短くて覚えにくいパスワードの代わりに、パスフレーズ(複数の単語やフレーズで構成される認証情報)を活用するのも有効だ。

 頭から離れない文章があれば、これに大文字や特殊文字、絵文字をちりばめて使うこともできる。自動化ツールでも解読は簡単でないといい、同社はパスフレーズの効果を説明している。

3.パスワードに使用期限を設定しない

 パスワードを定期的に変更する必要はないと現在では考えられている。

 ユーザーにとって、定期的に強いパスワードを考えることは負担が大きいからだ。結果的に弱いパスワードを使ったり、複数のサービス間で共通のパスワードを使い回すリスクも考えられる。同社では「定期的にパスワードを変更させることは悪影響のほうが多くなる可能性がある」としている。

4.他人に知られている情報を基にしたパスワードは設定しない

 ESETでは、他人に知られている情報をベースにしたパスワードや認証質問も時代遅れだと考えている。ユーザーにとっては、忘れたパスワードを探すのには役立つかもしれないが、その分、リスクは高い。例えば、「初めて飼ったペットの名前」などは、ちょっとしたリサーチやSNSで簡単に推測することができるので注意が必要と同社は指摘する。

5.一般的なパスワードを使用禁止にする

 一般的に使用されるパスワードを使用禁止とするのも有効な手段の1つであるとESETは説明する。新しいパスワードを、一般的に使用されるパスワードや以前に侵害されたことのあるパスワードのブラックリストと照合し、そのリストに記されたものは使用できなくするものだ。

 同社によると、Microsoftは2019年、ユーザーのアカウントをスキャンし、ユーザー名とパスワードを約30億セットの流出した認証情報のデータベースと比較。その結果、パスワードが漏洩した4400万人のユーザーを発見し、パスワードのリセットを強制した過去があるという。

6.パスワードだけに頼らないことも重要

 一方、「パスワードだけに頼らないことも重要」と同社は訴える。

 パスワードがいかに強力で独自のものであっても、データを守る1つの要素にすぎない。アカウントを安全に保ちたいなら、認証レイヤーを追加することが絶対条件というのがESETの考えで、認証レイヤーとして、二段階認証システム、ソフトウェアベースのワンタイムパスワードジェネレーターなどを挙げた。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. Google Cloud、2025年のサイバーセキュリティ予測を発表 AIがサイバー攻撃にもたらす影響とは?
  3. 経営層の約7割が「セキュリティ対策は十分」一方で6割以上がインシデントを経験、1位の要因は?
  4. 2025年に押さえるべきセキュリティの重要論点をガートナーが発表 新しいリスク、脅威、環境の変化、法規制などの動きを把握する指標に使える
  5. “ゼロトラスト”とトラスト(信頼性)ゼロを分かつものとは――情報セキュリティ啓発アニメ「こうしす!」監督が中小企業目線で語る
  6. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  7. よく聞く「複雑化するサイバー攻撃」は具体的にどう複雑なのか? 一例を医療系企業のランサム事例とともに解説
  8. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  9. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  10. Google、「パスキー」のアップデートを発表 新たに導入された「パスワードマネジャーPIN」とは?
ページトップに戻る