【はじめてのセキュリティ 第2回】パスワードと認証 ― 一番身近で一番大事な守り
📚 連載「はじめてのセキュリティ」(全7回)|第2回 パスワードと認証 ― 一番身近な守り
前回:第1回 なぜ今、あなたが狙われるのか
前回、まず手をつけるべき3つの一つに「パスワード」を挙げました。地味に見えて、実は侵入の大半はこの”鍵”の弱さから始まります。第2回は、なぜ使い回しが危険なのか、覚えきれないパスワードをどう扱うか、そして「パスワードだけに頼らない」多要素認証までを、やさしく整理します。
なぜ「使い回し」が一番危険なのか
攻撃者は、どこかのサービスから流出したID・パスワードのリストを大量に手に入れ、それを別のサービスで片っ端から試します。これをクレデンシャルスタッフィング(リスト型攻撃)と呼びます。同じパスワードを使い回していると、1か所の流出が、芋づる式に他のサービスの乗っ取りへつながります。つまり「強いパスワードを1つ作る」より「サービスごとに違うパスワードにする」方が、現実には効きます。流出は自分の不注意がなくても、利用先のサービス側で起こり得る点も重要です。
強いパスワードの作り方 ― 「複雑さ」より「長さ」
かつて推奨された「記号・数字を混ぜた複雑な文字列」は、短いと結局破られやすく、人間が覚えられないという弱点があります。近年の指針では、複雑さよりも「長さ」が重視されています。意味のない短い文字列より、無関係な単語をいくつかつないだ長いフレーズ(パスフレーズ)の方が、破られにくく覚えやすいのです。また、定期的な強制変更はかえって安易なパターン化を招くため、「漏れた疑いがあるときに変える」運用が現代的です。
覚えきれない問題は「パスワードマネージャー」で解く
サービスごとに長くて別々のパスワード——人間の記憶では到底無理です。ここで使うのがパスワードマネージャー。1つのマスターパスワード(とできれば後述の多要素認証)で金庫を開け、各サービスのパスワードはツールが生成・保管・自動入力してくれます。ブラウザやスマホOSに内蔵のものもあり、まずはそこから始めるだけでも、使い回しから一気に卒業できます。「紙のメモ」や「ブラウザに平文保存」よりはるかに安全です。
パスワードだけに頼らない ― 多要素認証(MFA)
どれだけ強くしても、パスワードは「漏れる前提」で考えるのが安全です。そこで多要素認証(MFA/2段階認証)。パスワード(知識)に加え、スマホやセキュリティキー(所持)など別の要素を組み合わせ、片方が漏れても突破されにくくします。手段によって強さに差があります。
- SMSコード:手軽だが、番号乗っ取り等のリスクあり。無いよりは大きく前進。
- 認証アプリ(ワンタイムコード):SMSより安全。広く使える現実的な標準。
- パスキー/セキュリティキー(FIDO2):偽サイトに入力させる手口(フィッシング)に強く、最も堅牢。対応サービスが拡大中。
これからの主役「パスキー」
パスキー(passkey)は、パスワードそのものを使わずに、端末の生体認証(指紋・顔)などで本人確認する新しい仕組みです。「入力するパスワードが存在しない」ため、フィッシングで盗まれる対象がなくなります。主要なOS・ブラウザ・サービスが続々と対応しており、初心者にとっても「将来はこちらが当たり前」になる方向です。対応していれば積極的に使う価値があります。
今日からできる、3歩
- 重要アカウントから使い回しをやめる:まずメール・銀行・SNSなど”乗っ取られると痛い”順に、別々のパスワードへ。
- パスワードマネージャーを1つ導入する:以後の生成・記憶はツールに任せる。
- 多要素認証をオンにする:可能ならSMSより認証アプリ、対応していればパスキーへ。
鍵は「強く」より「使い回さない」が先。
Omamori AI の結論
- 事実:侵入の多くは流出パスワードの使い回しを突くクレデンシャルスタッフィングから始まる。対策の優先順位は「使い回しの排除 > 長さ > 多要素認証 > パスキー化」。
- 判断軸:パスワードは「漏れる前提」で設計する。複雑さの暗記に頼らず、マネージャーとMFAで仕組みとして守る。手段の強さ(SMS<認証アプリ<パスキー)を理解して選ぶ。
- 打ち手:重要アカウントから使い回しをやめ、パスワードマネージャーを導入し、多要素認証(できればパスキー)を有効化する。
次回予告
第3回は、最も身近な攻撃の入口「メールとフィッシング」。本物そっくりの偽メール・偽サイトをどう見抜くか、うっかりクリックしてしまったときの初動まで解説します。
(第3回「メールとフィッシング」を公開しました。基本の言葉は 用語集 で確認できます)
