【パスワード】自動生成・管理方法、変更の必要性、忘れた場合の対処方法などについて説明します

パスワード 特集

セキュリティの関係から、パスワードの管理の重要性が注目されています。

かつては、8桁程度の半角英数字のランダムな文字列の場合、当時のスーパーコンピューターを用いたとしても、解読されるまでには、天文学的な数字となり、まず破られることは無いという時代もありましたが、現在では、8文字程度あれば不安を感じるほど、セキュリティ事情は、大きな変化を見せています。

スポンサーリンク

【基礎知識】暗証番号、アカウント、ID

パスワードに関連する基礎知識ですので、ご存知の方は読み飛ばして先にお進みください。

暗証番号とパスワードの違いですが、一般的には暗証番号とは銀行などのキャッシュカードのような「数字4桁」のものを指して用いられるのがほとんどのようです

これに対して「パスワード」とは、会員サイトなどのシステムにログインする際に用いられるもので、「英数字8桁以上」などの制限があるものが通常です。

また会員サイトなどにログインするには「アカウントID」と「パスワード」が対で運用されるのが一般的です。

「アカウントID」は、ユーザーが任意に設定するもの、メールアドレスをアカウントIDとするものなどのパターンがあります。

パスコード

また、パスコードというものもあります。これはスマホなどで使われる「数字数桁」であるのが一般的です。

パスコードについての注意事項として、ソフトバンクのページにはこのように書かれています。

注意事項
設定したパスコードは確認する方法がありません。忘れてしまった場合は iPhone、iPad の初期化が必要になります。
パスコードは忘れないよう、ご注意ください。

引用元:https://www.softbank.jp/mobile/support/iphone/essentials/passcordsetting/

パスワードの変更の必要性

さまざまなインターネットのサービスでは、月に1回程度のパスワードの変更が推奨されていますが、それは、毎日忙しい中で、月に1回程度はセキュリティを意識した時間を作るようにして欲しいというだけではなく、理論的な根拠があります。

仮に8文字の半角英数字と想定した場合、0から9の10種類、大文字のAからZの26種類、小文字のaからzの26種類の合計62種類となります。

それを8桁で構成した場合は、62の8乗となり、生成できる文字列のパターンは、218兆3401億0558万4896種類となります。

この数字だけを見ると、まず破られる可能性が無いと感じてしまいますが、昨今の技術革新による演算能力の大幅な向上により、パーソナルユースのパソコンであっても、解読することは、今や不可能では無くなりました。

コンピューターのセキュリティを専門としている欧米の大学の研究室などで行われた実験結果では、その目安が、だいたい1か月程度という報告があり、このことからも、少なくとも、1か月以内に1回程度の変更が必要であるとする根拠となっています。

変更すると言っても、簡単な文字列であってはすぐに解読されてしまいます。

00000000や、12345678など、単純なものは論外なのはもちろんのこと、誕生日、電話番号など、本人の情報から、容易に推測されるものも危険です。

また、辞書に掲載されているような単語を利用した場合は、高確率で解読されてしまいます。

なぜなら、解読をする側は、そのことを想定して、まずは、ありがちな単語で認証されるか、ハッキングを試すからです。

いちばん良いのは、半角数字、半角英字大文字、半角英字小文字が設定できるなら、すべての種類を散りばめ、可能な文字数の上限最大に、ランダムな文字列を羅列し、解読される可能性を、少しでも低減することです。

昨今では、それでも足りないと言うことで、記号も設定できるサービスもあり、その場合は、当然記号も含めます。

パスワードを生成するツール

とは言え、自分で生成するとなると、なかなか大変な作業になりますが、その一方で、スマートフォン用のアプリや、インターネットのウェブサービスの中には、ランダムな文字列のパスワードを生成するツールがあり、それらを利用すれば、簡単に強固なパスワードを生成できます。

しかし、一般的な単語ではなく、完全なランダムな文字列の場合、記憶力に自信がある方であっても、忘れてしまうことが懸念されます。

パスワードを忘れた場合の対処方法

多くのインターネットサービスでは、パスワードを忘れた場合は、仮パスワードが発行され、あらかじめ登録したメールアドレスに送信されるシステムを提供しているケースがあります。

逆に、このサービスを利用して、システムにランダムな文字列を生成してもらうという使い方もあります。そのようなシステムが提供されていないケースでは、別の方法を担保する必要があります。

パスワードの管理方法

いちばん良いのは、頭の中に記憶することですが、個人差はあるものの、それにはやはり限界があります。アナログな方法として、メモをする方法がありますが、流石にそのままを書き込むことは非常に危険です。

ここで行いたいのが、まるでスパイ映画の暗号のように、一定の法則にしたがってメモをするという方法です。

例えば、「password」という文字列があったとして、今月は、アルファベットを2つ後方へずらすと決めた場合は、「rcuuyqtf」となります。

その2つずらす法則を誰にも知らせず、後者のメモのみを利用すれば、もちろんそのメモを誰にも見せないことがいちばんですが、仮にそのメモを盗まれたとしても、そのままを入力しても、認証することはできないという手法です。

もうひとつの方法は、SDカードやUSBメモリなどの外部の記憶デバイスにテキストのメモを保存して利用する方法です。

入力が必要なときだけ、記憶デバイスをパソコンなどに接続して、そのテキストを開き、作業が終わったらすぐに、その記憶デバイスを取り外し、厳重に管理します。

さらに、パソコン内のテキストの閲覧履歴も、即座に削除し、もしもコピーアンドペーストを利用したのであれば、他の文字列をコピーし、クリップボードの内容を上書きして、流出を防ぎます。

いずれの方法においても、大変煩雑な手間がかかるものですが、万が一の個人情報の流出、不正利用、遠隔操作、ウイルスの感染など、昨今のクリティカルなリスクを鑑みれば、セキュリティとして取り組まなければなりません。

一般的なパスワードの確認方法の一例

一般的に、パスワードはセキュリティの関係からアスタリスクで表示されるため、目視で確認することは不可能ですが、例えば社内の共有ネットワークをWi-Fiで利用する事例では、デバイスをネットワークに接続する際に必要となるSSIDとパスワードは、公開することが必要となるため、設定を変えることで、アスタリスクから文字列の表示に切り替えるという確認方法があります。

各種オンラインサービスでも、原則としてアスタリスクで表示されるため、同じく目視による確認は不可能ですが、パスワードを再発行する手続きを行えば、登録されたメールアドレスに通知されるため、これをもって確認方法とすることができます。

もうひとつの方法は、サードパーティ製のパスワード管理ツールを利用する事例です。

セキュリティ関連のソフトウェア会社からも、新製品のリリースが相次ぎ、新たな分野として注目されています。

あらかじめ必要となるパスワードを管理ツールに保存しておき、ツールを起動するためのマスターパスワードを入力すれば、各種サービスで利用するパスワードを閲覧できるという確認方法です。

昨今のセキュリティ意識の高まりから、文字数が増え続ける傾向にあり、すべての文字列を暗記するのは非現実的な中で、新たな確認方法として、確立しつつあります。

一般的なパスワードの解除方法の一例

インターネットサービスを利用していると、様々な場面でIDやパスワードの入力を求められることがありますが、たくさんのパスワードを使いこなしているうちに忘れてしまう人は少なくありません。

忘れてしまった場合には解除する必要がありますが、一般的な解除方法の事例としては、登録しているメールアドレスにサイトにアクセスするためのアドレスが送信されて、そのリンク先にアクセスするとパスワードを再設定する画面になるというものです。

パスワードやIDの設定をするときには大抵の場合メールアドレスを登録しますが、そのメールアドレスに再設定するためのアドレスが通知されますので万が一忘れてしまっても心配する必要はありません。パスワードの設定の際に秘密の質問と呼ばれる自分にしかわからない暗号のようなものを設定するサービスもあります。

パスワードは悪用を防ぐために誕生日やわかりやすい番号の登録は避けることが推奨されていますので、複雑なものを設定していますと忘れてしまうことも少なくありませんが、サービスによって多少異なるものの一般的にはメールを利用してパスワードを再設定することが出来ます。万が一忘れてもあわてず対応するようにしましょう。

タイトルとURLをコピーしました