安全なパスワードの作り方と管理のコツ
パスワードの流出やアカウント乗っ取りは、個人でも企業でも深刻な被害につながります。しかし「何を気をつければよいかわからない」「毎回複雑なパスワードを考えるのが面倒」という方も多いでしょう。
この記事では、安全なパスワードの条件と、現実的に続けられる管理方法を具体的に解説します。
安全なパスワードの条件
パスワードの強度は主に次の要素で決まります。
- 長さ: 最低12文字以上。できれば16文字以上が望ましい
- 文字の種類: 英大文字・英小文字・数字・記号(@#$%!など)を組み合わせる
- ランダム性: 規則性や予測しやすいパターンを含まない
- 一意性: サービスごとに異なるパスワードを使う
現在の一般的な推奨は「長くてランダムなパスワードをサービスごとに使い分ける」です。短くても複雑なパスワードより、長くてランダムなパスワードの方が解読が困難です。
よくある危険なパスワードの例
次のようなパスワードは攻撃者に推測・解読されやすいため、使ってはいけません。
| NGパスワードの例 | 問題点 |
|---|---|
| password、123456、qwerty | 世界中で最も使われるパスワードとしてリストに登録されている |
| 自分の名前、誕生日、電話番号 | SNSや公開情報から推測されやすい |
| 会社名、サービス名そのもの | 辞書攻撃(よくある単語の組み合わせを試す攻撃)に弱い |
| 同じパスワードを複数サービスで使い回す | 1つのサービスで漏洩すると他のサービスも乗っ取られるリスクがある |
| P@ssw0rd のような単純な置き換え | 「a→@」「o→0」の置き換えは攻撃パターンに含まれている |
パスフレーズという考え方
「ランダムな文字列は覚えられない」という場合、パスフレーズが有効な方法です。パスフレーズとは、無関係な複数の単語を並べてパスワードとして使う方法です。
例えば「正しい馬バッテリーステープル」のような形式です。単語を4〜5個組み合わせると、総文字数が長くなり、ランダム性も確保できます。辞書に載っている単語同士でも、組み合わせが予測困難であれば十分な強度になります。
日本語でパスフレーズを作る場合は、ローマ字入力に変換したものをパスワードとして使う方法もあります。「正しい馬」→「tadashiuma」のような変換です。さらに数字や記号を加えると強度が増します。
使い回しを防ぐ方法
パスワードを安全に管理するうえで最も重要なのが「使い回さないこと」です。しかし、利用するサービスが増えると、すべてのパスワードを覚えておくのは不可能です。現実的な対策は次のとおりです。
パスワードマネージャーを使う
パスワードマネージャーは、すべてのパスワードを暗号化して保存するツールです。マスターパスワード1つで管理でき、サービスごとに異なるランダムなパスワードを自動生成・入力してくれます。代表的なツールには以下があります。
- Bitwarden: 無料で使えるオープンソースのパスワードマネージャー。個人利用なら無料プランで十分
- 1Password: UIが使いやすく、ファミリープランも提供している有料ツール
- ブラウザ内蔵のパスワードマネージャー: Chrome・Edge・Safariに内蔵されており、手軽に使える。ただし複数ブラウザをまたぐ管理はしにくい
二要素認証を有効にする
パスワードが万一漏洩した場合でも、二要素認証(2FA)を設定しておくとアカウントへの不正ログインを防げます。SMSによる認証コードや、Google AuthenticatorのようなTotp認証アプリを使う方法が一般的です。重要なサービス(メール、銀行、SNSなど)では必ず設定しましょう。
パスワードが漏洩しているか確認する
自分のメールアドレスやパスワードが過去の情報漏洩に含まれているかどうかは、Have I Been Pwned(haveibeenpwned.com)というサービスで無料で確認できます。メールアドレスを入力するだけで、どのサービスの漏洩に含まれているかを教えてくれます。
漏洩が確認された場合は、そのサービスのパスワードを直ちに変更してください。また、同じパスワードを他のサービスでも使っていた場合は、そちらも変更が必要です。
まとめ
- パスワードは12文字以上、英大文字・小文字・数字・記号を混ぜる
- サービスごとに異なるパスワードを設定する(使い回し厳禁)
- パスワードマネージャーを使えば覚える必要がなくなる
- 重要なサービスには二要素認証を設定する
- 定期的に漏洩チェックを行い、漏洩が判明したら即座に変更する