パスワードのセキュリティレベルに対する見解

2019年7月26日

テクノロジー

先日子供がニンテンドーSWITCHのゲームソフトを購入した時に、インターネットで他のユーザーとデータ共有する機能を使う時に、プレイヤーそれぞれの専用アカウントを作らないと行けない時に、パスワードを入力して、登録しようとしたら、「誕生日は使用できません」というエラーが出て、子供の考えたパスワードが否定されてしまいました。 この誕生日をパスワードに使えないというのは、銀行の4桁数字パスワードの際に、月日の4桁をそのままパスワードに入れる人が多いため、簡単に解読されてしまうがために禁止されたのを、英数字であっても、この4桁数字を入れてはいけないというしょーもないルールを適用させた極めて使いづらさを追求している仕様だと感じ、今回はパスワードのセキュリティレベルを考えてみようとブログ記事を書いてみたいと思います。 ちなみに、誕生日をパスワードに使えない仕様のニンテンドーアカウントですが、英数字しか使えず、よりセキュリティレベルが高くなる記号系は登録ができず、「どんなセキュリティレベルやねん!」と突っ込みたくなる程度でしたね・・・

サービス毎に異なるパスワードルール

パスワードは頻繁に変更して運用しなければならないのが今の時点でセキュリティレベルの高いパスワード運用の方法なのですが、スマートフォンなどを使っている人は、Apple,Goole,Line,Facebook,Twitter・・・と、普通に使っているほぼ全ての端末やWEBサービスのどれにもIDとパスワードを登録しなければいけないし、これらのパスワードを定期的に全て新しくするなんて不可能に近いでしょう。 さらに、個人情報漏洩に備えることを考えると、他のサイトと同じパスワードが使えないというのは、まさに地獄のような環境であると考えざるを得ません。 そして最もめんどくさいのが、それぞれのサービス毎にパスワード登録のルールがまるで違うという事をリストアップしてみてみましょう。 パスワードでの文字列ルールは、以下のパターンのどれかで文字列登録ルールが作られています。
1. 銀行などの「4桁数字」パスワード 2. 一番オーソドックスな「半角英数字」 3. 少しセキュリティレベルの高い「半角英数字+記号」(記号は使える記号が限定されている場合もある)
そして、この文字列を使って必須や任意のルールは以下のようになっています。
1. 生年月日の4桁数字(または8桁など)をパスワード内に盛り込んではいけない(名字や名前も含んではいけないケースもある) 2. 英字を登録する時は、大文字小文字を必ず入れる 3. 英数字+記号のどれかを必ず入れる(大文字小文字も含める場合もあり) 4. 以前に使用したことのあるパスワードは再利用できない(前回利用のみのケースもある)
さらにこれらを定期的に変更しなくてはいけない作業を強制的に行わせるサイトもあり、ユーザーとしては、いつどんなパスワードに変更したのか、自分でもログインできなくなる事態になる場合があります。 また、文字数も6文字以上だとか8文字以上のように、サイトによってルールが違う他、10桁以内というおそらくデータベースのlength設定がモロバレになるのに、DB領域をケチっているサイトもたまにあり、うんざりすることがあります。

理想的なパスワード運用

以前に書いた記事でパスワードの作り方や運用方法などを考えてみたのですが、 以前書いたブログ : パスワードについて考える 少ないサイトで行う場合であれば、この記事に書かれているような英数字+記号で自分では忘れにくい文字列を作ることが可能なのですが、複数のサイトに別々のパスワードを登録しながら、定期的に変更などという運用をしていると、パターンを使い切ってしまう、または、どのパスワードを登録したのかを忘れて、間違ったパスワードを複数回登録してしまうことによる、アカウントロック状態に陥ってしまうハメになります。 ここでおすすめしたいのは、「ワンタイムパスワード登録」のやり方です。 この方法は、パスワードを記憶する必要は一切なく、どのサイトでもランダムなパスワードを別々に登録しておき、それを管理しておくことも全く必要ないといやり方です。 具体的にどうやるのかというと、下記のようなランダムパスワード生成をしてくれるサービスをツールとしてブックマークしておき、その都度新鮮なパスワードを生成できるようにしておきます。 パスワード生成(パスワード作成)ツール このサービスのいい所は、色々な文字列に対応したパスワードが生成できるという点です。 そして、どのサイトでも、ログインを求められたら、必ず「パスワードを忘れた場合」というリンクが設置されているので、パスワードの再発行を行うようにします。 何度もメールが送られてきて、その都度再発行という作業をするのが少し慣れるまでは後ろめたい感じがしますが、そもそもパスワード運用の最も最適でセキュアな運用をしているという自負を持って行えるようになってきます。 ここで気をつけたいのは、登録しているメールアドレスは全て1つにまとめておかないと、どのメールで登録してあるアカウントなのかという別の問題も発生しますので、この辺の管理は徹底しましょう。

セキュアとめんどくさいは背と腹

また、このやり方でのデメリットは、たまにしか使わないサービスであれば、このやり方でいいのですが、Gmailやfacebookなどのように、パソコンでもスマホでも、使用頻度の高いものは、その都度パスワード発行を行っていたのでは時間のロスが多いほか、複数ブラウザで同じパスワードを入れないと、そのタイミングでないと利用できなくなるというケースも考えられます。 この場合は、そのサイトにおけるパスワードは、メモって覚えて置かなければいけません。 そしてメンドクサい事は承知で、定期的にパスワード変更をする作業も怠らないようにしましょう。 そんなメンドクサい作業をしているのですが、誰が考えても非常にセキュアな状態になっており、もし仮に使用しているサービスで個人情報漏洩が発生しても、自分の他のどのアカウントでも、他社による不正ログインの被害に合うことは皆無になります。 もしかすると、面倒くささになれると、今のIT社会では、便利にセキュアになれるのかもしれませんね。

このブログを検索

ごあいさつ

このWebサイトは、独自思考で我が道を行くユゲタの少し尖った思考のTechブログです。 毎日興味がどんどん切り替わるので、テーマはマルチになっています。 もしかしたらアイデアに困っている人の助けになるかもしれません。