最悪のパスワードにするとどうなる？そのリスクと正しい作り方

パスワードの管理って何かと面倒……。単純な文字列のパスワードで使いまわしをしていませんか？

パスワードの使いまわしや、簡単な文字列のために不正アクセス被害にあってしまった……という被害報告を頻繁に耳にします。

そこで今回は最悪のパスワードを説明し、よりセキュリティの高いパスワードの作り方をご紹介します。

セキュリティ専門会社が推奨しているのは、パスワードを作るルールだけを覚えておくというもの。ぜひ、不正ログインのリスクを減らす方法を頭に入れておきましょう。

セキュリティ企業が発表した「最悪のパスワード100」

システムセキュリティの面から見るとよくないことを頭では理解しつつも、何となく覚えやすいパスワードを設定している人も多いことでしょう。

どんなパスワードが「よくないパスワード」なのでしょうか。

アメリカのセキュリティ企業であるSplashDataは、毎年「最悪のパスワード100」を発表しています。

これは、その年に流出した北米と西欧のパスワードをまとめたものとされています。

SplashDataによると、2017年の最悪は「123456」。2016年に引き続き2年連続のワーストワンで、何と全体の3％が使用していたということです。

1位から10位は、それぞれ以下の通りとなっています。

• 1位　 123456
• 2位　 password
• 3位　 12345678
• 4位　 qwerty
• 5位　 12345
• 6位　 123456789
• 7位　 letmein
• 8位　 1234567
• 9位　 football
• 10位  iloveyou

これを見ると、やはり数字を羅列したパスワードが目立ちます。また「football」や「iloveyou」など、ありがちなフレーズを入れる例も多いようです。

日本版のデータはありませんが、同じように数字の羅列やありがちな文章などが多いであろうという推測は成り立つかもしれません。

企業からパスワードが漏れたときの恐怖のリスク

いかにもありがちなパスワードにしてしまうと、不正ログインのリスクも増加します。

企業のイントラやマイページへのパスワードが漏れてしまうと、会社全体をセキュリティリスクにさらすことにもなりかねません。

たとえば、顧客マスターを管理するシステムへログインするためのパスワードが流出したとしましょう。この場合、貴重な顧客の情報がハッカーに漏れてしまうことになります。

場合によっては、顧客をもハッカーのターゲットにされてしまうかもしれません。データの改ざんが行われると、顧客に営業やマーケティングキャンペーンを仕掛けることもできなくなります。

こうなると、顧客全体からの信用を著しく傷つけることになるのは分かるでしょう。営業やマーケティングのチャンスを逃すため、機会損失でもあります。

そして何より、損害賠償の対応に追われる可能性もあります。直接顧客にダメージを与えるとなると、自社が受ける被害の大きさは計り知れません。

個人からパスワードが漏れたときのリスクも

企業だけでなく、プライベートのパソコン・システムからパスワードが流出した場合も、大きなリスクを抱えることになります。 仮に銀行や証券会社、クレジットカードのパスワードが漏れてしまうと、自分のお金を不正に引き出されたり使われたりするかもしれません。

さらに深刻なのは、複数のサイトで同じパスワードを使い回していたケースです。一つのサイトだけではなく、同じパスワードを利用しているすべてのサイトでパスワード変更や利用停止などの対策をせざるを得ません。

一度不正なログインを受けたアカウントは、パスワードを変更して使い回すより捨ててしまうのがベストです。パスワードを変更しても、何度も悪用されるリスクがあります。

そうなると、インターネットを安心して使うことすら難しくなるでしょう。

パスワードの作り方とは？

結局のところ、最もよいのは見破られにくいパスワードを設定することです。しかし、よいパスワードというのはどのようにして作ればよいのでしょうか。

セキュリティ会社であるマカフィーは、自分なりの「パスワード生成アルゴリズム」を考えて覚えておくのがよい、としています。

自分に関係する言葉を決め、アクセスするサイトのURLから文字列を借用したうえで、アルゴリズムを適用するのです。たとえば、以下のように考えます。

自分に関係する言葉：light アクセス先：miteshiru.com アルゴリズム：iを1、tをTへ変換。アクセス先URLの文字のキーボード1段上に変換。最後に^!を追加。

→l1ghTk853wy847^!

こうすると、サイトごとに異質なパスワードが生成できるにもかかわらず、覚えておくべきは自分に関係する言葉とアルゴリズムの二種類だけです。

複雑なパスワードを、少ない暗記量で管理できることになります。 同じくセキュリティ会社のトレンドマイクロでは、パスワード作成に三つのルールを提示しています。それが、「記号を入れる」「8文字以上を使う」「覚えやすい」です。

また、パスワードを一定のルールで変換することも推奨しています。やはり、毎回違うパスワードを作れるルールだけを覚えておくのがベストでしょう。

そのルールは、記号も入れられるようにしておくとなおよいです。 危険・危機から企業を守るために必須なのがパスワードです。その重要性をしっかりと認識して、正しく運用しましょう。