強力で使いやすいパスワードは「不必要に複雑にしない」「使用期限を設定しない」、専門家が作成方法を伝授：「初めて飼ったペットの名前」を設定するのはNG

スロバキアのセキュリティ企業ESETは、公式ブログWeLiveSecurity.comで強力かつ使いやすいパスワードの作り方を紹介した。

[＠IT]

　スロバキアのセキュリティ企業ESETは2023年5月4日（現地時間）、公式ブログWeLiveSecurity.comで強力かつ使いやすいパスワードの作り方を紹介した。同社は「近年、覚えるべきパスワードは増加傾向にある」と指摘する。その中で、「一部のセキュリティ専門家は、これまでのパスワードの管理方法は持続不可能であると指摘している」とも述べ、強力かつ使いやすいパスワードの作り方を6つ挙げた。

1．不必要にパスワードを複雑にしない

　パスワードを設定する際、複雑なものに設定することは、もはや必須ではないとESETは訴える。

　大文字と小文字の両方を含めたり、少なくとも1つの数字と特殊文字を含めたりといったやり方は古いという。なぜなら、こうしたルールは強力なパスワードの設定を促進せず、むしろ弱くて覚えにくいパスワードにつながってしまうからだ。そのため、同社では「パスワードは適度に簡潔なものがいいだろう」としている。

2．パスフレーズに切り替える

　短くて覚えにくいパスワードの代わりに、パスフレーズ（複数の単語やフレーズで構成される認証情報）を活用するのも有効だ。

　頭から離れない文章があれば、これに大文字や特殊文字、絵文字をちりばめて使うこともできる。自動化ツールでも解読は簡単でないといい、同社はパスフレーズの効果を説明している。

3．パスワードに使用期限を設定しない

　パスワードを定期的に変更する必要はないと現在では考えられている。

　ユーザーにとって、定期的に強いパスワードを考えることは負担が大きいからだ。結果的に弱いパスワードを使ったり、複数のサービス間で共通のパスワードを使い回すリスクも考えられる。同社では「定期的にパスワードを変更させることは悪影響のほうが多くなる可能性がある」としている。

4．他人に知られている情報を基にしたパスワードは設定しない

　ESETでは、他人に知られている情報をベースにしたパスワードや認証質問も時代遅れだと考えている。ユーザーにとっては、忘れたパスワードを探すのには役立つかもしれないが、その分、リスクは高い。例えば、「初めて飼ったペットの名前」などは、ちょっとしたリサーチやSNSで簡単に推測することができるので注意が必要と同社は指摘する。

5．一般的なパスワードを使用禁止にする

　一般的に使用されるパスワードを使用禁止とするのも有効な手段の1つであるとESETは説明する。新しいパスワードを、一般的に使用されるパスワードや以前に侵害されたことのあるパスワードのブラックリストと照合し、そのリストに記されたものは使用できなくするものだ。

　同社によると、Microsoftは2019年、ユーザーのアカウントをスキャンし、ユーザー名とパスワードを約30億セットの流出した認証情報のデータベースと比較。その結果、パスワードが漏洩した4400万人のユーザーを発見し、パスワードのリセットを強制した過去があるという。

6．パスワードだけに頼らないことも重要

　一方、「パスワードだけに頼らないことも重要」と同社は訴える。

　パスワードがいかに強力で独自のものであっても、データを守る1つの要素にすぎない。アカウントを安全に保ちたいなら、認証レイヤーを追加することが絶対条件というのがESETの考えで、認証レイヤーとして、二段階認証システム、ソフトウェアベースのワンタイムパスワードジェネレーターなどを挙げた。