強力で使いやすいパスワードは「不必要に複雑にしない」「使用期限を設定しない」、専門家が作成方法を伝授:「初めて飼ったペットの名前」を設定するのはNG
スロバキアのセキュリティ企業ESETは、公式ブログWeLiveSecurity.comで強力かつ使いやすいパスワードの作り方を紹介した。
スロバキアのセキュリティ企業ESETは2023年5月4日(現地時間)、公式ブログWeLiveSecurity.comで強力かつ使いやすいパスワードの作り方を紹介した。同社は「近年、覚えるべきパスワードは増加傾向にある」と指摘する。その中で、「一部のセキュリティ専門家は、これまでのパスワードの管理方法は持続不可能であると指摘している」とも述べ、強力かつ使いやすいパスワードの作り方を6つ挙げた。
1.不必要にパスワードを複雑にしない
パスワードを設定する際、複雑なものに設定することは、もはや必須ではないとESETは訴える。
大文字と小文字の両方を含めたり、少なくとも1つの数字と特殊文字を含めたりといったやり方は古いという。なぜなら、こうしたルールは強力なパスワードの設定を促進せず、むしろ弱くて覚えにくいパスワードにつながってしまうからだ。そのため、同社では「パスワードは適度に簡潔なものがいいだろう」としている。
2.パスフレーズに切り替える
短くて覚えにくいパスワードの代わりに、パスフレーズ(複数の単語やフレーズで構成される認証情報)を活用するのも有効だ。
頭から離れない文章があれば、これに大文字や特殊文字、絵文字をちりばめて使うこともできる。自動化ツールでも解読は簡単でないといい、同社はパスフレーズの効果を説明している。
3.パスワードに使用期限を設定しない
パスワードを定期的に変更する必要はないと現在では考えられている。
ユーザーにとって、定期的に強いパスワードを考えることは負担が大きいからだ。結果的に弱いパスワードを使ったり、複数のサービス間で共通のパスワードを使い回すリスクも考えられる。同社では「定期的にパスワードを変更させることは悪影響のほうが多くなる可能性がある」としている。
4.他人に知られている情報を基にしたパスワードは設定しない
ESETでは、他人に知られている情報をベースにしたパスワードや認証質問も時代遅れだと考えている。ユーザーにとっては、忘れたパスワードを探すのには役立つかもしれないが、その分、リスクは高い。例えば、「初めて飼ったペットの名前」などは、ちょっとしたリサーチやSNSで簡単に推測することができるので注意が必要と同社は指摘する。
5.一般的なパスワードを使用禁止にする
一般的に使用されるパスワードを使用禁止とするのも有効な手段の1つであるとESETは説明する。新しいパスワードを、一般的に使用されるパスワードや以前に侵害されたことのあるパスワードのブラックリストと照合し、そのリストに記されたものは使用できなくするものだ。
同社によると、Microsoftは2019年、ユーザーのアカウントをスキャンし、ユーザー名とパスワードを約30億セットの流出した認証情報のデータベースと比較。その結果、パスワードが漏洩した4400万人のユーザーを発見し、パスワードのリセットを強制した過去があるという。
6.パスワードだけに頼らないことも重要
一方、「パスワードだけに頼らないことも重要」と同社は訴える。
パスワードがいかに強力で独自のものであっても、データを守る1つの要素にすぎない。アカウントを安全に保ちたいなら、認証レイヤーを追加することが絶対条件というのがESETの考えで、認証レイヤーとして、二段階認証システム、ソフトウェアベースのワンタイムパスワードジェネレーターなどを挙げた。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- パスワードマネジャーはどれを選ぶべき? 押さえておきたい10の機能とは ESET
ESETは、強いパスワードが重要な理由と、パスワードマネジャーを選択する上で押さえておきたい10個の機能を解説した。 - パスワードに代わる認証方式「パスキー」に関する7つの誤解 1Passwordが解説
1Passwordは、パスワードを必要としない認証方式として注目される「パスキー」の仕組みに関する7つの誤解を公式ブログで紹介した。 - ゼロトラスト、Digital Identity Wallet、Passkey――“デジタルアイデンティティー”の歴史と最新動向
2022年11月に開催された「ITmedia Security Week 2022 冬」の「クラウド&ゼロトラスト」ゾーンにおいて、パロンゴ 取締役 兼 最高技術責任者/LocationMind 取締役の林達也氏が「加熱する変容:デジタルアイデンティティー時代の基礎と次世代動向」と題して基調講演に登壇した。林氏がこれまで追いかけ続けてきたデジタル世界におけるアイデンティティーと、その変容について解説し、デジタルアイデンティティーの最新動向を紹介するセッションとなった。