パスワード

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動: 案内, 検索
曖昧さ回避 この項目では、セキュリティのためのパスワードについて記述しています。コンピュータゲームにおけるパスワードについては「パスワード (コンピュータゲーム)」を、講談社青い鳥文庫から出ているパスワードシリーズについては「パソコン通信探偵団事件ノート」をご覧ください。
Edit-find-replace.svg
 この記事には「独自研究」に基づいた記述が含まれているおそれがあります。これを解消するためにある情報の根拠だけではなく、信頼可能解釈、評価、分析、総合の根拠となる出典を示してくださいこのタグは2010年8月に貼り付けられました。

パスワード (Password) とは、一般的に合言葉を指すが、特にコンピュータ関連で使用する場合は、特定の機能を使用する際に認証を得るため入力する文字及び数字の羅列を指す。多くの場合、その利用者が本人であることを確認するもので、その利用者のみが知る文字列を用いる。

目次

[編集] 概説

通常はユーザIDと対にして用いる。あらかじめ登録されているそのユーザIDのパスワードと、操作者によって入力されたパスワードが一致していることによって、操作者がそのユーザIDの使用者本人であると認識する。

パスワードのうちで、数字のみで構成される文字列を暗証番号(あんしょうばんごう、PIN、personal identification number)という。金融機関ATM携帯電話本人確認で利用される。

ウィキペディアにおいてもログインするためにパスワードが必要となる。

文字列の長さが数十文字以上と長いパスワードのことを特にパスフレーズと呼ぶことがあり、高いセキュリティが必要なシステムで用いられる。

多くのシステムでは、パスワードに用いることのできる文字はアルファベットラテン文字)26文字か52文字(大文字小文字が区別される場合)、アラビア数字10文字、「+-/!"#|_」などの記号に限定されているが、マルチバイト文字を用いることができるものもある。

[編集] パスワードの発見

パスワードやクレジットカードの番号を入手することで、他人になりすましてさまざまな利益が得られることから、パスワードを発見するということがしばしば行われてきた。理論上は総当りですべての文字列を試してみればいつかは正しいパスワードを発見可能なことは容易にわかるが、大変な労力が必要なので実際はあまり行われない。

また、複数回間違ったパスワードを入力すると、システムがそれ以降の入力を拒否するようになっている場合もある。(金融機関の現金自動預け払い機では、間違った暗証番号を3回入力すると以降はそのカードは有人窓口以外での取り扱いができなくなってしまう。ドアの電子錠では回路がクラッキングと判断して自己破壊するものもある)

パスワードは任意の文字列で構成されるが、完全にランダムということはほとんどなく、実際は覚えやすい文字列で構成される場合が多い。その性質を利用して、辞書に載っている単語や人名を入力することで、パスワードを発見する効率を高めるソフトウェアもある。(辞書攻撃の項を参照されたし)

キャッシュカードや携帯電話端末の暗証番号はわずか4桁だけしかない場合が多く、0000〜9999の、せいぜい10000回試せば暗証番号を発見できることから、番号を忘れてしまった場合に全部の番号を試すソフトウェアが存在する(総当たり攻撃の項を参照)。

ただし桁数の少ない暗証番号は照合時の入力回数に制限(通常3回まで)がある場合がほとんどである。

[編集] 発見されにくいパスワードの作成のコツ

誰でも思いつくような覚えやすい文字列でパスワードを設定することは避けるようにすべきだというのが、セキュリティ専門筋の共通見解であるが、パスワードをランダムな文字列の羅列にし、かつ文字数を多くするあまり、中には自分自身でも覚えられないパスワードを設定する人も見られ、本末転倒な事態に陥るケースも見られる。他方では、その余りにも覚え難いパスワードをメモに記録して携帯または保管する向きもあるが[1]ソーシャル・エンジニアリングによってパスワードを盗まれる事態も発生しているだけに、注意が必要である。

定期的にパスワードを変更する事で、たとえ盗難にあってもすぐに無効化できるため、任意のパスワードを設定できる所では、定期的なパスワード変更が推奨されている。近年では現金自動預け払い機においても、その場の機械操作だけで暗証番号が変更できるものが見られる。ただし、この場合変更前のパスワードを覚えていないと変更することができない。

以上の通り、発見されやすくなるパスワードは、生年月日や自動車ナンバー、電話番号・キリ番数字などが大半で、時にパスワードが見られたり盗まれたりする事もある。そのため、発見されにくいパスワードを作るコツは、

  • 数字のみで設定するパスワードの場合、生年月日や公開された個人情報に当てはまらない、キリ番以外の数字の羅列にする
  • アルファベットと数字のみの場合、その2種をランダムに混ぜる、辞書に載っている単語や名前を避ける
  • 記号マルチバイト文字が使用できる場合、それらを入れ、複雑な文字列にする

などである。

また、上記の項目に共通して、

  • 意味の無い文字列にする
  • 身の回りのものと関連のないパスワードにする
  • 作成したパスワードを紙に書いて貼っておいたり、パソコンに打ち込んで保存するような事はしない
  • 絶対に誰にも教えず、教えてほしい・打ち込んでほしいと言われても、作成者が自分で打ち込む又は拒否する
  • 定期的にパスワードを変更する

等、自分以外の誰にも分からないパスワードを作り、絶対に教えない事、そして定期的にパスワードを変え、絶対に侵入されないようにする事がとても重要である。定期的なパスワード変更については有効性は低いという指摘[2]もある。また、パスワードの定期的な変更を促すことで、用いられるパスワード自体の質が低くなって破られやすいパスワードが使われてしまう可能性も指摘されている[2]

暗号化されたパスワードに総当たり攻撃を受ける可能性を考慮して、解読時間も考慮してパスワード強度や、変更周期を検討する。(参考:総当たり攻撃#パスワード長と解読時間の関係

[編集] 関連項目

[編集] 脚注

  1. ^ 【CRYPTO-GRAM日本語版】パスワードを書き留めよう日経BP社 IT pro security、Bruce Schneier)など
  2. ^ a b 辻伸弘 (2011年2月4日). “第6回 パスワードの定期変更という“不自然なルール””. 2011年2月7日閲覧。
http://ja.wikipedia.org/w/index.php?title=%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89&oldid=40966727」より作成
個人用ツール
名前空間
変種
操作
案内
ヘルプ
ツールボックス
他の言語