パスフレーズとは
パスフレーズとは、本人認証で用いるパスワードの一種です。通常のパスワードが8文字前後のところ、パスフレーズは10文字以上の単語を組み合わせた文字列で構成されているため、セキュリティが強固になります。
パスフレーズにはどのような特徴があるのでしょうか。詳しく見ていきましょう。
フレーズで構成されたパスワードのこと
パスフレーズは使用される文字列が長く、通常のパスワードよりもセキュリティが高いです。いくつかの単語を組み合わせた文章になるため「パスフレーズ」と呼ばれます。
総当たり攻撃の対策になる
通常のパスワードは、不正にパスワードを暴く「総当たり攻撃」の対象になりやすいです。コンピュータを使って片っ端から試すため、使用される文字種や文字数が少ないと突破されやすくなります。さらに、最近はコンピュータの性能が向上し、攻撃が成功する条件が揃っているといえるでしょう。
しかし、総当たり攻撃は文字列が増えるほど突破されにくくなります。つまり、数種類の単語を組み合わせるパスフレーズは、総当り攻撃対策として有効なのです。
パスワードとの違い
ここまでパスフレーズの特徴を見てきましたが、パスワードとの違いは何でしょうか。2つの違いを紹介します。
文字数が多い
パスワードは通常8~10文字程度が上限であり、それ以上は入力できません。
一方で、パスフレーズは数十文字くらいまで設定できます。パスワードよりも文字数は多いですが、意味のあるフレーズを基にパスフレーズを生成するため記憶に残りやすいです。
加えて、セキュリティ強度が向上します。文字列が増えるにつれパスワード解析に時間がかかるため、パスフレーズが長ければ長いほど安全性が高いといえます。
スペースを含められる
アルファベットの大文字・小文字や数字、記号のみを用いる通常のパスワードと違い、パスフレーズではスペースの利用が認められています。
これは、フレーズが複数の単語とスペースで構成されていることに起因します。文字列のみの場合と比べ、スペースを含めるとセキュリティ強化につながります。
ただ、スペースの利用は任意であり、パスフレーズ生成の要件ではありません。
パスフレーズを生成する際のポイント
パスフレーズはどんな点に気を付けて生成すれば良いのでしょうか。ここではパスフレーズの作り方と、その際に気をつけたい2つのポイントを見ていきましょう。
ポイント1.予想されやすいフレーズは避ける
パスフレーズを生成する際、好きな曲や本などの1フレーズをそのまま引用したり、少し修正して使ったりしがちです。しかし、このようなフレーズは予想されやすく、第三者に割り出される可能性が高くなります。
世界的に有名な楽曲や映画のフレーズは、攻撃者のパスフレーズ推測プログラムに登録されています。そのようなフレーズに変更を加えたパターンもあらかじめ登録し、日々攻撃を試みているのです。
また、言葉や単語をそのまま利用すると、本人の好みが反映されやすく単語の選択が偏りがちです。たとえば、固有名詞を並べた「JapanTokyo」や「thank you very much」を基にした「thankyouverymuch」などはランダム性がなく、割り出されやすくなるでしょう。
ポイント2.7つの単語を組み合わせる
推測が難しいパスフレーズも、コンピュータの発達により、簡単に割り出されてしまう可能性が高くなっています。そこで「Diceware(ダイスウェア)」と呼ばれるサイコロを利用した方法を使えば、セキュリティ性の高いパスフレーズを生成できます。
必要なものは、5つのサイコロと一般公開されている「ダイスウェア単語一覧」です。ダイスウェアのやり方は以下のとおりです。
- 1.5つのサイコロを同時に振り、出た目を5桁の数字としてメモします。
- 2.5桁の数字と一致する番号の単語を一覧から探します。
- 3.同じことを7回繰り返すとパスフレーズが完成します。
個人でランダムなパスフレーズを作ろうとすると、既存の単語の組み合わせや、あるフレーズの小文字を大文字に変えるなど、一定のパターンに従って生成しがちです。この手法なら、パスフレーズが割り出されるリスクは低くなるでしょう。
1日に1兆回の処理が可能なコンピュータでパスワードクラックを試みる場合、5フレーズで構成されるパスフレーズは半年で攻撃が成功するといわれています。
6フレーズになるとパスフレーズの割り出しに3500年以上、7フレーズになると2700万年かかる計算となり、リスクが大幅に減ります。
パスフレーズを使って安全性を高めよう!
パスフレーズとはフレーズを基にして生成したパスワードのことです。パスワードよりも多くの文字列で構成されるため、総当たり攻撃の対策になります。
パスフレーズは10文字以上で構成され、スペースの使用が可能です。パスフレーズを生成するときのポイントは以下の2つです。
- ■推測されやすいフレーズの利用を避ける
- ■Dicewareの手法を利用した7つのフレーズを生成する
パスフレーズの特徴を理解し、本人認証の安全性を高めましょう。
