パスフレーズとは
パスフレーズとは、複数の単語を組み合わせて作る長いパスワードのことで、通常のパスワードよりもセキュリティが高い認証方法です。一般的なパスワードが8文字前後で構成されるのに対し、パスフレーズは10文字以上、場合によっては数十文字の文字列で構成されます。
このように文字数が長くなることで、第三者による不正アクセスを防ぎやすくなる点が大きな特徴です。特に、複数の単語を組み合わせた構造にすることで、単純なパスワードよりも推測されにくくなります。
通常のパスワードは、コンピュータで文字列を総当たりで試す「総当たり攻撃(ブルートフォース攻撃)」の対象になりやすい傾向があります。文字数が少ない、または単純な構成である場合、短時間で突破されるリスクが高まります。
一方でパスフレーズは、文字数が多くなるほど組み合わせのパターンが増えるため、解析にかかる時間が大幅に増加します。そのため、総当たり攻撃への有効な対策として、多くのサービスやセキュリティガイドラインでも推奨されています。
パスワードとの違い
パスフレーズとパスワードの大きな違いは、「文字数の長さ」と「構成の自由度」にあります。パスフレーズは長い文字列で構成され、スペースを含めた柔軟な表現が可能なため、セキュリティと記憶のしやすさを両立できる点が特徴です。
ここでは、パスワードとの具体的な違いを2つの観点から紹介します。
文字数が多い
パスワードは通常8~10文字程度が上限であり、それ以上は入力できません。
一方で、パスフレーズは数十文字くらいまで設定できます。パスワードよりも文字数は多いですが、意味のあるフレーズを基にパスフレーズを生成するため記憶に残りやすいです。
加えて、セキュリティ強度が向上します。文字列が増えるにつれパスワード解析に時間がかかるため、パスフレーズが長ければ長いほど安全性が高いといえます。
スペースを含められる
アルファベットの大文字・小文字や数字、記号のみを用いる通常のパスワードと違い、パスフレーズではスペースの利用が認められています。
これは、フレーズが複数の単語とスペースで構成されていることに起因します。文字列のみの場合と比べ、スペースを含めるとセキュリティ強化につながります。
ただ、スペースの利用は任意であり、パスフレーズ生成の要件ではありません。
パスフレーズを生成する際のポイント
パスフレーズはどんな点に気を付けて生成すれば良いのでしょうか。ここではパスフレーズの作り方と、その際に気をつけたい2つのポイントを見ていきましょう。
ポイント1.予想されやすいフレーズは避ける
パスフレーズを生成する際、好きな曲や本などの1フレーズをそのまま引用したり、少し修正して使ったりしがちです。しかし、このようなフレーズは予想されやすく、第三者に割り出される可能性が高くなります。
世界的に有名な楽曲や映画のフレーズは、攻撃者のパスフレーズ推測プログラムに登録されています。そのようなフレーズに変更を加えたパターンもあらかじめ登録し、日々攻撃を試みているのです。
また、言葉や単語をそのまま利用すると、本人の好みが反映されやすく単語の選択が偏りがちです。たとえば、固有名詞を並べた「JapanTokyo」や「thank you very much」を基にした「thankyouverymuch」などはランダム性がなく、割り出されやすくなるでしょう。
ポイント2.7つの単語を組み合わせる
推測が難しいパスフレーズも、コンピュータの発達により、簡単に割り出されてしまう可能性が高くなっています。そこで「Diceware(ダイスウェア)」と呼ばれるサイコロを利用した方法を使えば、セキュリティ性の高いパスフレーズを生成できます。
必要なものは、5つのサイコロと一般公開されている「ダイスウェア単語一覧」です。ダイスウェアのやり方は以下のとおりです。
- 1.5つのサイコロを同時に振り、出た目を5桁の数字としてメモします。
- 2.5桁の数字と一致する番号の単語を一覧から探します。
- 3.同じことを7回繰り返すとパスフレーズが完成します。
個人でランダムなパスフレーズを作ろうとすると、既存の単語の組み合わせや、あるフレーズの小文字を大文字に変えるなど、一定のパターンに従って生成しがちです。この手法なら、パスフレーズが割り出されるリスクは低くなるでしょう。
1日に1兆回の処理が可能なコンピュータでパスワードクラックを試みる場合、5フレーズで構成されるパスフレーズは半年で攻撃が成功するといわれています。6フレーズになるとパスフレーズの割り出しに3500年以上、7フレーズになると2700万年かかる計算となり、リスクが大幅に減ります。
パスフレーズの安全な管理方法
パスフレーズは強固な認証手段ですが、管理方法を誤ると情報漏えいのリスクが高まります。安全性を維持するためには、適切な管理ルールとツールの活用が重要です。ここでは、パスフレーズを安全に管理するためのポイントを紹介します。
紙やメモアプリでの管理は避ける
紙のメモやスマートフォンのメモアプリにパスフレーズを記録する方法は、盗難や不正アクセスのリスクがあります。特にクラウド同期されるメモは第三者に閲覧される可能性もあるため、安全性の低い方法での保管は避けるべきです。
多要素認証(MFA)を併用する
パスフレーズ単体でも高いセキュリティを確保できますが、さらに安全性を高めるには多要素認証の併用が効果的です。SMS認証や認証アプリ、生体認証などを組み合わせることで、万が一パスフレーズが漏えいした場合でも不正ログインを防止できます。
定期的に見直し・更新する
長期間同じパスフレーズを使い続けると、漏えいリスクが高まります。重要なサービスについては定期的に変更し、過去に使用したものを再利用しないことが重要です。特に業務システムやクラウドサービスでは、運用ルールとして更新頻度を定めておくとよいでしょう。
サービスごとに使い分ける
同じパスフレーズを複数のサービスで使い回すと、1つのサービスから情報が漏えいした際に被害が拡大します。サービスごとに異なるパスフレーズを設定することで、リスクの分散が可能です。
パスワード管理ツールを活用する
複数のサービスで異なるパスフレーズを利用する場合、すべてを記憶するのは困難です。パスワード管理ツールを利用すれば、安全に一元管理でき、使い回しの防止にもつながります。自動生成機能や入力補助機能も備えているため、利便性とセキュリティの両立が可能です。
パスフレーズで安全性を高めるには、運用ルールやデータ保護の仕組みも重要です。自社に合う暗号化ソフトを整理したい方は、無料診断で候補を確認できます。
パスフレーズを使って安全性を高めよう!
パスフレーズとはフレーズを基にして生成したパスワードのことです。パスワードよりも多くの文字列で構成されるため、総当たり攻撃の対策になります。
パスフレーズは10文字以上で構成され、スペースの使用が可能です。パスフレーズを生成するときのポイントは以下の2つです。
- ■推測されやすいフレーズの利用を避ける
- ■Dicewareの手法を利用した7つのフレーズを生成する
パスフレーズの特徴を理解し、本人認証の安全性を高めましょう。
