パスワード
パスワードとは、IDと組合せることで本人認証を行うための合言葉である。数字のみのパスワードはPIN、単語ではなく熟語などを利用した長いものはパスフレーズに分類される。
概要[編集]
パスワードは一般にIDと対になっており、本人しか知りえないパスワードを入力することで本人であることを認証するための重要なキーである。パスワードはアカウント作成時に設定するものであり、多くの場合はアルファベットとアラビア数字、そして一部の記号である。パスワードに使う言葉は、架空の言葉を使うときもある。
パスワードの認証においてはハッシュ関数が用いられており、認証するサーバではパスワードからハッシュ関数を用いて得られるハッシュ値のみを保存している。ログイン時は入力されたパスワードからハッシュ値を生成し、保存されているハッシュ値との比較で認証を行っている。
なお、このような認証を行っているサービスの場合はパスワードを忘れた場合パスワードのリセッティングが必要である。仮に平文で「あなたパスワードは〇〇です」と送ってくるようなサービスの場合は警戒したほうが良いだろう。
パスフレーズ[編集]
パスワードを推測されないようにするため、より長大な文字数を鍵とするものである。パスワード(単語)に対するフレーズ(熟語)であり、利便性の低下があるものの総当たり攻撃への対策にもつながるものである。一般にパスワードよりもパスフレーズのほうが覚えやすいというが、表記ゆれやtypoの可能性もあり、一概どちらが優れているというものではない。
- パスフレーズの例
- FukounimoKuronurinoKoukyushaniTsuitotsuShiteshimau
- どこかで聞いたことのあるフレーズで覚えやすい。なお、記号や数字を使用していないがパスワード強度チェッカー[1]においては「とても強固」の評価となっている。
パスワードクラック[編集]
パスワードは個人の認証において重要な役割を果たしているため、情報や資産を目的としたパスワードの入手が古くから試みられてきた。最も有名なものは総当たり攻撃であり、特にPINなど桁数が少なく試行回数に制限のないシステムで被害にあいやすい。また、利便性から「password」や「12345」などという脆弱なパスワードを設定する例は後を絶たず、そういった脆弱なパスワードを狙った辞書攻撃という手段も存在している。なお、一部のシステムではこの辞書を逆手に取り、パスワードの登録時に脆弱なパスワードを受け付けないようにしているシステムもある。
このようなパスワードを不正に入手しようとするクラッキングをパスワードクラックという。
パスワードマネージャー[編集]
利用するサービスが増えると、IDやパスワードの管理が煩雑になる。特にパスワードの使いまわしを避ける場合、その傾向は顕著である。このような状況に対応するために用いられるのが、パスワードマネージャーである。これは、マスターパスワードと呼ばれる1組のIDとパスワードでロックされた領域に、複数のログイン情報を一括して保存・管理できるサービスである。現在ではChromeなどのブラウザにも標準搭載されている。
パスワードマネージャーは多数のIDとパスワードを管理できるだけでなく、入力フォームへの自動入力や、強力なパスワードの自動生成機能など、利便性に優れる。一方で注意点もある。古いサービスでは、使用できる文字の種類や長さに制限があり、自動生成されたパスワードが使えない場合がある。また、マスターパスワードを忘れるとすべてのデータにアクセスできなくなり、さらに第三者に知られた場合には、保存されたすべての情報が不正利用されるリスクもある。