お客様のウェブサイトの運用に限らず、様々な場面でパスワードを入力する事が多いと思われます。
ウェブサイト運用でも次の様な場面でパスワード入力が必要です。
- サーバーの設定をする為に、サーバー事業者が用意したサーバーコントロールパネルのログインID・パスワード
- サーバーへのファイルアップロードする為のFTPのログインID・パスワード
- テストサイトを外部の人が見れない様にする為に設定するBasic認証のログインID・パスワード
- ウェブサイトを更新するシステムであるWordPressやMovableTypeなどCMSのログインID・パスワード
- GoogleアナリティクスやGoogleサーチコンソールを利用する為に必要なGoogleアカウントのログインID・パスワード
- Eメールを送受信する為にメールソフトに設定するメールアカウントのログインID・パスワード
これ以外にも、ウェブサイトによって様々な場面で、ログインID・パスワードが必要となります。
このページでは、そのパスワードについての安全に運用する為の決定方法・管理方法を説明します。
パスワードの決定
パスワードご自身で設定する場面も多いと思われます。そのパスワードの決定についてどんなパスワードが危険で、どんなパスワードが望ましいのかを説明致します。
予測しやすいパスワードがNGな理由
弊社のお客様の中にも、ウェブサイト不正侵入されて不正な操作を行われたなどの被害がございましたが、その原因の1位は予測しやすいパスワードを設定していた為です。そのパスワードが会社名+誕生日(例: kaisha1201)など予測しやすい上に、少ない文字数・少ない文字種(ローマ字小文字・数字など)で構成されたパスワードが設定されたログインシステムは、不正侵入者にとっては恰好の餌食です。
ブルートフォース攻撃
予測しやすいパスワードが何故危険なのか?何故簡単に見破られてしまうのか?それは、暗号解読の手法の一つであるブルートフォース攻撃(ブルートフォースアタック)に対して脆弱だからです。ブルートフォース攻撃は、「総当たり攻撃」や「力任せ攻撃」と言われており、例えば4ケタの数字だけのパスワードの場合、0000~9999まで1万通りの組み合わせを全て試すうちに、どこかで正しいパスワードで突破できてしまうという事になります。この中でもよく使われるのが、辞書攻撃と言われる良く使われるパスワードを辞書のように登録されたリストを使う方法です。
間違ったパスワードを複数回入力するとアカウントIDへのアクセスがロックされる様なシステムにも対応した手法が「リバースブルートフォース攻撃」でパスワードは固定にしてIDの組み合わせを総当たりする方法です。この場合、同一のIDに対して何度も別のパスワードを試す訳では無い為、ロックが掛かる事はありません。
またこれらは、人間の手で行うのではなく、自動化されたプログラム使って行われますので手間はかかりません。
パスワードの設定でやってはいけないこと
パスワードで使用する文字でNGなもの
パスワードを決定する際に、次の様な文字は使わない様にしましょう。
| やってはいけないこと | 備考 |
|---|---|
| 自社や自分に関係する固有名詞を使う | パスワードが自社名や自分の名前、ペットの名前、好きな車などをローマ字で表したものは予測しやすいので使用するのは止めましょう。ウェブサイトの運営会社名やサービス名を使うのは最も避けるべきですが、ペットの名前や好きな車の名前なども避けましょう。代表者のインスタやFaceBookから予測して、その固有名詞+総当たりされてしまう場合もあります。 |
| 実際に存在する英文や人名を使う | 実際に使われる英単語や実在する人名やキャラクター名なども避けましょう。辞書攻撃でリストに入っている可能性が高いです。 |
| 誕生日など連続した数字を使う | 1972年12月1日生まれだからと19721201など数字を連続した数字はNGです。総当たりで簡単に解読されてしまいます。 |
パスワードの設定や管理でNGな行為
パスワードを設定する際や、設定した後に次の様な行為は避けましょう。
| やってはいけないこと | 備考 |
|---|---|
| どのサービスでも同じパスワードを設定すること | パスワードをどのログイン情報も、同じにしてしまう事は避けましょう。もしその中の一つからパスワードが流出した場合、それ以外の全てのログインを突破されてしまう危険性がございます。そのサイトやシステム毎に異なるパスワードを設定する様にしましょう。この場合、それぞれのパスワードを覚える事は出来ないのでパスワード管理アプリを利用しましょう。 |
| 決定したパスワードをメモに残してPCのそばに貼り付ける行為 | お客様の元を訪れるとパスワードをPCの真横にメモ書きして貼り付けてある事がありますが、これは絶対にNGです。第三者が絶対にパスワードを盗まないという事はありません。社内の人間だけしか居ないから大丈夫という事もありません。 |
| 公共の場所でのログイン操作 | 不正侵入の原因で意外と多いのは、覗き見などのアナログな手段です。カフェなどでPCを使ってログインしてる様子が悪意の持った第三者に覗き見されている場合もあります。昨今は誰でもスマートフォンを持っているので、その様子を録画されているかもしれません。これを防ぐにはパスワード管理アプリを利用するのが有効です。パスワード管理アプリを使うと、パスワード自体は伏せられた状態でコピー&ペーストで入力できる為、覗き見されてもパスワード自体が見られる事は無いでしょう。 |
| 重要なものは、ネットカフェや職場など不特定多数の人が触れるPCでログインしない | 不特定多数の人が触れるPCに万が一キーロガーと呼ばれるソフトウェアが仕掛けられていた場合、そのログイン情報が盗まれていまいます。キーロガーはキーボードの打刻履歴を記録するソフトで、その履歴が悪意のある第三者に盗まれる事になります。またコピペだから大丈夫という訳ではありません。クリップボードの内容を貼り付けされた時に、その内容を知らぬ間に記録して送信する様なマルウェアが仕掛けられている場合もあります。 |
望ましいパスワード
パスワードは以下の様なルールで決定するの良いでしょう。
次の様なパスワードが望ましい
アルファベットの大文字・小文字・数字・記号をランダムに並べたもので10文字以上
例: /t(wh\K2tYO~xpU
この様なパスワードは安全な反面覚える事は困難です。パスワード管理アプリに記録して管理・利用すると良いでしょう。
面倒ならばパスワード生成ソフトを使う
上記の様なパスワードを決定するのを自分で行うのは面倒です。パスワード管理アプリには、パスワード生成機能があるので、これを利用すると1クリックで安全なパスワードが生成できます。
パスワード生成サイトは要注意
パスワードを生成するサイトもありますが、あまりお勧めしません。何故ならそのサイト自体がパスワードを盗む目的の可能性もあるからです。
パスワード管理アプリを利用しましょう
上記の通り、パスワードはサイトやサービス毎に設定して、10文以上のランダムな文字列である事が推奨ですが、これを一つ一つ覚えておく事は困難でしょう。インターネット上のサービスでは、このパスワードを管理する為のツールがありますので、これを利用して複数のパスワードを管理すると良いでしょう。どれも、使い勝手が異なるのでご自身で使いやすいものを検討してみましょう。
パスワード管理アプリが便利
ほとんどのソフトがパスワード自動生成機能がある
ほとんどのパスワード管理アプリには、安全なパスワード生成をする為のパスワード自動生成機能がついておりワンクリックで、パスワードが生成できます。また、パスワードの危険度判定機能もあり、そのパスワードが安全かどうかを警告してくれる機能もあります。
異なるサイトやサービスのパスワードを一元管理できる
それぞれのウェブサイト、サービスで異なるパスワード設定する事が重要ですが、そうなるとその管理が大変です。パスワード管理アプリを使えば、その管理が容易になります。
異なる端末や場所で共用できる
PCや複数のスマートフォン間で、そのソフトに保存したログイン情報が共用できて、利用場所が違っても必要に応じてそのログイン情報を取り出す事ができます。
とは言っても100%流出しない保障は無い
残念ながら、パスワード管理アプリを使う事が安全とは言っても、それは100%ではありません。実際にクラウド上に保存されたデータをハッキングされて、そのソフトウェアを利用していたユーザーのログイン情報が全て流出してしまったという事案もあります。どのソフトも、利用規約にその場合の免責が記載されており、その保証は微々たるものです。特に、海外の開発元が多い為、日本の常識が通用しません。従って、どのパスワード管理アプリを利用するかは、そのソフトの評判や運営元の情報を調べた上で利用しましょう。
また、クラウド上に保存するソフトでは無く、ローカル上でのみ保存(又は保存を選択)できるものがより安全です。
代表的なパスワード管理アプリ
パスワード管理アプリ
パスワード管理に特化したアプリで、ブラウザ標準やOS標準のパスワードマネージャーやセキュリティソフトメーカーのパスワード管理機能アプリと比べて、その信頼性に若干の不安も残る反面、その使い勝手は良いものが多いです。
| ブラウザ名 | 異なるデバイスでのパスワード管理 | 参考サイト |
|---|---|---|
| Keeper | その使い勝手の良さから定評のある管理アプリです。パスワードに加えて、画像や動画などのファイルも安全に保管できます。体験版はありますが、使い続けるには、年額版・月額版を購入する必要があります。 | 公式サイト |
| Enpass Password Manager | 無料でも十分な機能が使えるパスワード管理アプリで、幅広いOSに対応しています。指紋認証や「AES-256」方式の暗号化通信を採用しているためセキュリティは高く、オフラインでの利用も可能なのでクラウドに保存される不安も解消されます。 | 公式サイト |
ブラウザ標準やOS標準のパスワードマネージャー
ブラウザやOSの標準機能としてパスワード管理アプリが利用できます。GoogleアカウントやAppleIDと紐づけされており、異なる端末間での利用も可能です。但し、ウェブサイトのログインに特化している為、少々使い勝手が悪いです。
| ブラウザ名 | 異なるデバイスでのパスワード管理 | 参考サイト |
|---|---|---|
| Google パスワード マネージャー | 同一Googleアカウントを利用しているAndroid端末やChromeブラウザで利用可能 | パスワードを管理する |
| Firefox | 同一Firefox アカウントを利用しているFirefoxブラウザで利用可能 | Firefox のパスワードマネージャー |
| iCloud キーチェーン | iphone、ipad、mac間で同一AppleIDを利用している端末間で利用可能 | iCloud キーチェーンを設定する |
セキュリティソフトメーカーのパスワード管理機能アプリ
セキュリティソフトメーカーが開発しているパスワード管理もあります。
セキュリティソフトメーカーというだけあって、そのセキュリティレベルは非常に高いと思われます。
| ブラウザ名 | 異なるデバイスでのパスワード管理 | 参考サイト |
|---|---|---|
| ノートンパスワードマネージャー | ノートンのセキュリティソフトを利用していれば利用可能 | 公式サイト |
| True Key | マカフィーが提供するパスワード管理アプリ。無料版では15個まで保存可能。プレミアム版(有償)を利用すると無制限利用可能になります。 | 公式サイト |
| Trend Micro パスワードマネージャー | 「ウイルスバスター」のトレンドマイクロ社が提供するパスワード管理アプリ。年額版・月額版(有償)を利用すると無制限のログイン情報を登録可能。無料版の場合はWindows版・Mac版は、無料版は5つまでのパスワードを登録可能。Android版・iOS版では、パスワードの無制限プランを30日間利用可能。 | 公式サイト |