安全性の高いパスワードの作り方とは？役立つツール3選や利便性・安全性を高めるポイントも解説

近年は、パスワードを盗んだり不正に突破するサイバー攻撃が行われているため、パスワードの作り方に注意が必要です。具体的には、12文字以上でアルファベットの大文字・小文字や数字、記号を活用したランダムな文字列にすることが重要です。

本記事では、安全性の高いパスワードが必要な理由やセキュリティ強度の高いパスワードの作り方、利便性・安全性を高めるポイントについて詳しく解説します。パスワードの強度を高めたい方、サイバー攻撃を防止したい方は、ぜひ参考にしてください。

安全性の高いパスワードが必要な理由とは

安全性の高いパスワードが必要なのは、単純なパスワードの場合不正アクセスされて、情報の流出やアカウント乗っ取りなどの被害に遭うためです。
近年は、不正アクセスを狙うサイバー攻撃が少なくありません。保有する個人情報を盗まれれば、企業の信用やブランドイメージが低下します。インターネットバンキングやクレジットカード情報が漏れた場合、金銭的な被害に遭うでしょう。また、アカウントを乗っ取られれば、悪用され自分が被害者であるとともに加害者になる恐れもあります。

ここからは以下の事項について解説します。

• 不正にパスワードを突破する主なサイバー攻撃
• 推測されやすいパスワードの特徴

不正にパスワードを突破する主なサイバー攻撃

不正にパスワードを突破する主なサイバー攻撃は以下の通りです。

• ブルートフォース攻撃
• パスワードリスト攻撃
• 辞書攻撃
• パスワードスプレー攻撃
• ショルダーハッキング

順に解説します。

ブルートフォース攻撃

ブルートフォース攻撃（総当たり攻撃）とは、Webサービスにログインする際の認証で使うパスワードを、考えられる全てのパターンで試して不正アクセスする攻撃のことです。1つのIDに対して、パスワードを変更しながら何度もログインを試みます。
⇒ブルートフォース攻撃とは？被害例や対策をわかりやすく解説

パスワードリスト攻撃

パスワードリスト攻撃とは、悪意ある第三者が不正に入手したID・パスワードのリストを用いて、不正アクセスを試みる攻撃のことです。パスワードを使い回している場合、脆弱性の弱いサービスなどから認証情報を盗まれ、他のシステム・サービスにも不正アクセスされる危険性があります。

辞書攻撃

辞書攻撃とは、よく使われる単語やフレーズ、数字の組み合わせを用いて不正アクセスを試みる攻撃のことです。ペットや有名人の名前などを活用して辞書攻撃を仕掛けるケースもあります。

パスワードスプレー攻撃

パスワードスプレー攻撃とは、複数のアカウントに対して同じパスワードを試し不正アクセスを試みる攻撃のことです。最近は、セキュリティ対策の一環でログインに一定回数失敗するとロックアウトする仕組みが取られたシステム・サービスが存在します。ただ、パスワードスプレー攻撃は1つのアカウントに複数のパスワードを試すのではなく、複数のアカウントに1つのパスワードを試すため、ロックアウトを回避されます。

ショルダーハッキング

ショルダーハッキングは、背後からパソコンやスマートフォンなどの画面を覗き見て、認証情報や個人情報を盗み取るソーシャルエンジニアリングの手口の一つです。電車・カフェなど、社外でパソコンやスマートフォンを利用する際には注意しましょう。
⇒ソーシャルエンジニアリングとは？手口や被害の事例、対策について解説

推測されやすいパスワードの特徴

推測されやすいパスワードの特徴は以下の通りです。

• 文字数が少ない
• アルファベットの小文字のみ、数字のみなど用いている文字の種類が限定されている
• 自分や家族の名前、生年月日など他人が推測しやすいもの
• aaaや111、ABCなど文字の並びに規則性がある
• 辞書にある単語やよくあるフレーズを活用している

上記に当てはまるパスワードの設定は避けましょう。

なお、危険性の高いパスワードの詳細は以下をご覧ください。
⇒漏洩の危険があるパスワードの特徴とは？漏洩対策や漏洩した時の対応策を徹底解説！

安全性の高いパスワードの作り方

安全性の高いパスワードを作るには、以下を意識することが重要です。

• 12文字以上にする
• 推測されやすい文字列を使わない
• アルファベット・数字・記号を併用する
• パスワードを使いまわさない

順に解説します。

12文字以上にする

パスワードは長くなればなるほどセキュリティ強度が高まります。例えば、0から9までの数字のみで構成された4桁のパスワードの場合、組み合わせは1万通り（10×10×10×10）で即時解析されてしまいます。安全性の高いパスワードを作るには、最低でも12文字にしましょう。

推測されやすい文字列を使わない

以下の推測されやすい文字列を用いないことも重要です。

• 氏名や誕生日、電話番号など本人・家族・ペットの個人情報に関わるもの
• 「password」や「baseball」など一般的な英単語
• 「asdfg」や「12345」などキーボードの配列に応じたもの
• 「aaaaaa」や「111111」など同じ文字の繰り返し

個人情報や既存の単語、固有名詞の使用は避け、ランダムな文字列にしましょう。

アルファベット・数字・記号を併用する

アルファベットの大文字・小文字と数字、記号を組み合わせてパスワードを作成することも欠かせません。以下は、セキュリティに関するサービスを展開するSecurity Hero社が、AIでのパスワード解析にどの程度の時間がかかるかを調査した結果です。

出典：AN AI JUST CRACKED YOUR PASSWORD｜Security Hero

上記の調査結果によれば、12文字以上でアルファベットの大文字・小文字と数字、記号を用いたパスワードの場合、解析に3万年かかります。
アルファベットのO（オー）を数字の0（ゼロ）や記号の＠（アットマーク）に変える、数字の1（イチ）をアルファベットのl（エル）に変えるなどの工夫も良いでしょう。

パスワードを使いまわさない

パスワードを使いまわさないことも、安全性を高めるために欠かせません。複数のサービスやサイトで同じパスワードを活用している場合、悪意ある第三者に盗まれれば複数のサービスで被害を受けます。近年は、パスワードを設定するシーンが多く手間はかかりますが、サービスやサイトごとに異なるパスワードを定めましょう。

安全性の高いパスワード作りに役立つツール3選

自分で安全性の高いパスワードを作成することが困難な場合には、ツールの活用が有効です。ただし、パスワード作成ツールの中には悪意のある第三者が、パスワードを盗むために提供しているものもあるため注意しましょう。
ここからは、安全性の高いパスワード作りに役立つ以下のツール3選を紹介します。

• ノートン
• LastPass
• ちょっと便利帳

ノートン

出典：ノートン公式Webサイト

マルウェアやウィルスからデバイスを守るセキュリティソフトブランド「ノートン」のパスワード生成ツールです。独自のアルゴリズムを用いて、文字と数字、記号を組み合わせた安全性の高いパスワードを瞬時に作成してくれます。

LastPass

出典：LastPass公式Webサイト

パスワードマネージャーサービス事業などを展開する「LastPass」のパスワード生成ツールです。誰でも無料で瞬時に安全性の高いパスワードを生成できます。

ちょっと便利帳

出典：ちょっと便利帳公式Webサイト

ちょっと便利でちょっと役に立つ情報を発信するサイト「ちょっと便利帳」のパスワード生成ツールです。ひらがな・カタカナ・漢字を含めたパスワードの生成も可能です。また、パスワード強度チェッカーも実装されており、生成されたパスワードの安全性を確認できます。

パスワードの利便性・安全性を高める5つのポイント

最後に、パスワードの利便性・安全性を高める以下5つのポイントを紹介します。

• パスワード管理ツールを活用する
• シングルサインオン（SSO）を利用する
• 二段階認証を導入する
• 多要素認証を導入する
• パスフレーズを利用する

パスワード管理ツールを活用する

パスワード管理ツールの活用は、パスワードの利便性・安全性の向上に有効です。使い回しを避けるには複数のパスワード設定が必要ですが、ランダムな文字列を覚えるのは容易ではありません。ただ、紙やメモファイルなどに記録した場合、盗まれるリスクがあります。パスワード管理ツール（パスワードマネージャー）であれば、安全性が高く紛失や盗み見のリスクも軽減できます。
なお、パスワードマネージャーの概要やおすすめのツールを知りたい方は以下をご覧ください。
⇒パスワードマネージャーとは？機能や選定のポイントについて解説
⇒パスワードマネージャーのおすすめツール10選！比較する際のポイントや注意点も解説！

シングルサインオン（SSO）を利用する

シングルサインオンの利用も、利便性・安全性の向上に効果的です。シングルサインオン（Single Sign-On）とは、一回の認証で多数のシステムやクラウドサービスなどにアクセスできる仕組みのことです。システムやサービスごとのID・パスワードを記憶する必要はありません。また、システムごとの認証情報入力も不要になるため、手間の軽減や生産性の向上も期待できます。

シングルサインオンの詳細は以下をご覧ください。
⇒シングルサインオン（SSO）とは？認証方式の種類やメリット・デメリット、導入の流れを解説

二段階認証を導入する

どんなに複雑なパスワードを設定しても、盗まれたり突破されたりする可能性をゼロにはできません。ただ、二段階認証を導入することにより、不正アクセスのリスクを軽減できます。二段階認証とは、本人確認を2回に分けて実施する方法のことです。ID・パスワード入力以外の認証も必要になるため、不正アクセスを防げる可能性が高まります。

二段階認証の詳細は以下をご覧ください。
⇒二段階認証とは？認証方法やメリット・デメリット、注意点を解説

多要素認証を導入する

多要素認証の導入も不正アクセスの防止に有効です。多要素認証（MFA）とは、知識や所有物、生体など複数の要素を活用して認証を行う方法のことです。二段階認証では認証回数を増やすことでセキュリティ強化を図るのに対し、多要素認証では異なる要素で認証を行うことでセキュリティ強度を高めます。指紋認証・顔認証を行う専門機器が必要なケースもあり、二段階認証よりも導入ハードルは高まりますが、より強力な不正アクセス防止が期待できます。

多要素認証の詳細は以下をご覧ください。
⇒MFA（多要素認証）とは？仕組みやメリット・デメリット、導入方法を解説

パスフレーズを利用する

複数かつランダムな単語で構成されたパスワードであるパスフレーズの利用もおすすめです。パスフレーズの場合、合計文字数が20文字以上になるケースが多く、セキュリティ強化を図れます。また、ランダムな文字列ではなく単語の組み合わせで構成されるため、パスワードよりも記憶しやすいでしょう。

パスワードの概要やパスワードとの違いを知りたい方は、以下もご覧ください。
⇒パスフレーズとは？パスワードとの違いやメリット・デメリットや設定のポイントを解説

まとめ

近年は、パスワードを盗んだり不正に突破するサイバー攻撃が増加しているため、安全性の高いパスワード設定が欠かせません。不正アクセスされれば、情報を盗まれたりアカウントを乗っ取られたりするリスクがあるでしょう。セキュリティ強度の高いパスワードを作るには、12文字以上でアルファベットの大文字・小文字や数字、記号を活用したランダムな文字列にすることが重要です。
ただ、パスワードに関する工夫をしても絶対に安全なわけではありません。併せて、パスワード管理ツールの利用や二段階・多要素認証の導入などにより、セキュリティ強化を図ると良いでしょう。

また、情報が漏洩した際迅速に気付き対処できる体制の整備も重要です。適切なリソース配分ができなくなるなどの恐れがあります。DXの推進やSCMの実施、慎重な取引先の選定と管理などにより、サプライチェーンの最適化を図りましょう。情報漏洩監視ツール「ダークウェブアイ」は、会社のドメイン情報を入れるだけで「いつ」「どこから」「どんな情報が」漏れてしまったのか、一瞬で分かります。

自社情報が漏洩していないか不安な方は、まずは自社の漏洩状況を確認してみてはいかがでしょうか？
⇒メールアドレスを入れるだけ！自社の漏洩状況をチェック！