パスフレーズとは？パスワードとの違い・作り方のポイントを紹介！

パスフレーズとは

パスフレーズは本人認証で用いるパスワードの一種ですが、どのような特徴があるのでしょうか。詳しく見ていきましょう。

フレーズで構成されたパスワードのこと

パスフレーズは使用される文字列が長く、通常のパスワードよりもセキュリティが高いです。通常のパスワードは８文字前後ですが、パスフレーズは10文字以上の文字列で構成されます。いくつかの単語を組み合わせた文章になるため「パスフレーズ」と呼ばれます。

総当たり攻撃の対策になる

通常のパスワードは、不正にパスワードを暴く「総当たり攻撃」の対象になりやすいです。コンピュータを使って片っ端から試すため、使用される文字種や文字数が少ないと突破されやすくなります。

最近はコンピュータの性能が向上し、攻撃が成功する条件が揃っているといえるでしょう。

しかし、総当たり攻撃は文字列が増えると突破されにくくなります。つまり、数種類の単語を組み合わせるパスフレーズは、このような不正防止に有効だといえるでしょう。

パスワードとの違い

ここまでパスフレーズの特徴を見てきましたが、パスワードとの違いは何でしょうか。２つの違いを紹介します。

文字数が多い

パスワードは通常８～10文字程度が上限であり、それ以上は入力できません。

パスフレーズは数十文字くらいまで設定できます。一般的な単語よりも長く、意味のあるフレーズを基にパスフレーズを生成するため記憶に残りやすいです。

加えて、セキュリティ強度が向上します。文字列が増えるにつれパスワード解析に時間がかかるため、パスフレーズが長ければ長いほど安全性が高いといえます。

スペースを含められる

通常のパスワードはアルファベットの大文字・小文字や数字、記号を用いますが、スペースを含めることはできません。

一方、パスフレーズにはスペースの利用が認められています。これは、フレーズが複数の単語とスペースで構成されていることに起因します。文字列のみの場合と比べ、スペースを含めるとセキュリティ強化につながります。

ただ、スペースの利用は任意であり、パスフレーズ生成の要件ではありません。

パスフレーズを生成する際のポイント

パスフレーズはどんな点に気を付けて生成すれば良いのでしょうか。ここでは、２つのポイントを見ていきましょう。

予想されやすいフレーズは避ける

予想されやすいフレーズでは、第三者に割り出される可能性が高くなります。パスフレーズを生成する際、好きな曲や本などの１フレーズをそのまま引用したり、少し修正して使ったりしがちです。

しかし、そのような方法ではパスフレーズが割り出されるリスクは高くなります。世界的に有名な楽曲や映画のフレーズは、攻撃者のパスフレーズ推測プログラムに登録されています。そのようなフレーズに変更を加えたパターンもあらかじめ登録し、日々攻撃を試みているのです。

また、言葉や単語をそのまま利用すると、本人の好みが反映されやすく単語の選択が偏りがちです。

たとえば、固有名詞を並べた「JapanTokyo」や「thank you very much」を基にした「thankyouverymuch」などはランダム性がなく、割り出されやすくなるでしょう。

７つの単語を組み合わせる

推測が難しいパスフレーズも、コンピュータの発達により、簡単に割り出されてしまう可能性が高くなっています。そこで「Diceware」と呼ばれるサイコロを利用した方法を使えば、セキュリティ性の高いパスフレーズを生成できます。

個人でランダムなパスフレーズを作ろうとすると、既存の単語の組み合わせや、あるフレーズの小文字を大文字に変えるなど、一定のパターンに従って生成しがちです。この手法を利用すればセキュリティ性の高い文字列が生成でき、パスフレーズが割り出されるリスクを低減します。

１日に１兆回の処理が可能なコンピュータでパスワードクラックを試みる場合、５フレーズで構成されるパスフレーズは半年で攻撃が成功するといわれています。

６フレーズになるとパスフレーズの割り出しに3500年以上、７フレーズになると2700万年かかる計算となり、リスクが大幅に減ります。

パスフレーズを使って安全性を高めよう！

パスフレーズとはフレーズを基にして生成したパスワードのことです。パスワードよりも多くの文字列で構成されるため、総当たり攻撃の対策になります。

パスフレーズは10文字以上で構成され、スペースの使用が可能です。また、推測されやすいフレーズの利用を避け、Dicewareの手法を利用した７つのフレーズを生成することでセキュリティが向上します。

パスフレーズの特徴を理解し、本人認証の安全性を高めましょう。