安全なパスワードとは何かを考えてみた

　いきなりですが、パスワードをどうやって管理していますか？

　スマートフォンの起動時やPCのログイン時、Webサービスやアプリケーションの利用時など、誰でも1日に1回はパスワードを入力しているといってよいでしょう。そして、誰でも多数のパスワードを管理しているはずです。筆者は、かなり前からパスワード管理ソフトのお世話になっています。

　筆者は、記憶力には多少自信がある方ですが、パスワードで覚えていられるのは3～4個程度。めったに使わないパスワードはすぐに忘れてしまいます。これを全部覚えるというのは、現実的には不可能です。ですので複数のサイトで同じパスワードを使い回したり、簡単なパスワードを使う人がいるわけですが、これらはクラッキングの被害に遭う恐れがあるためかなり危険です。

JPCERT/CCによるパスワードの使い回しを警告するキャンペーン。使い回しの危険性についての記載がある

（出所：JPCERT コーディネーションセンター）

[画像のクリックで拡大表示]

　クラッキングとは、他人のユーザーアカウントに不正にアクセスしようとすることです。こうした行為をする人たちは一般にクラッカーと呼ばれます。特に他人のパスワードを入手しようとすることを「パスワードクラッキング」といいます。

　パスワードクラッキングには、サーバーからユーザー登録情報を盗むといった手口もありますが、入手したメールアドレスに可能性のありそうなパスワードを組みあわせて、片端から調べていく手法もあります。こうしたときに使う「パスワードクラッキングツール」というソフトウエアも出回っています。

　簡単なパスワードは、このツールを使えば容易に見つけられてしまいます。1カ所でもパスワードが判明すると、クラッカーは著名なサイトに同じパスワードでログインできるかどうかを調べます。パスワードを使い回していると、自分の使っているほかのサービスのアカウントもクラッキングされてしまう恐れがあるのです。

　筆者はインターネットからアクセス可能なサーバーを自宅に置いていました。特に宣伝などしていなかったのですが、パスワードを探り当てようとする不正アクセスは、24時間ずっと来ていました。ドメイン名があれば、必ずパスワードクラッキングがやってきます。インターネットには、クラッカーから見つけることができない秘密のサイト、クラッカーから相手にされないような無名のサイトなどないのです。