そもそもパスワードは何を守っている?
パスワードは「あなた本人ですよ」と証明する鍵の役割をしています。誰かに鍵を盗まれれば、メールを覗かれ、SNSを乗っ取られ、ゲーム内のアイテムを売られ、最悪の場合はクレジットカードや家族の情報まで漏れます。家のドアの鍵と違うのは、ネット上のパスワードは「世界中の犯罪者が同時に試せる」点です。だから、現実の鍵よりずっと強いものが必要になります。
強いパスワードの条件と弱いパスワードの違い
パスワードを破る方法は、辞書にある単語を片っ端から試す「辞書攻撃」と、文字を総当たりで試す「ブルートフォース」の2つが主流です。8文字の英小文字だけなら家庭用PCでも数秒、12文字で英大小+数字+記号を混ぜると現代の高速マシンでも数百年かかると言われています。長さは強さに直結します。
守るべき7つのルール
順番に解説します。①長くは最も効きます。12文字を超えると、解読時間が一気に伸びます。②混ぜるは英大文字・小文字・数字・記号を組み合わせること。③意味なしは「ペットの名前」「好きなアイドル」のように推測しやすいものを避けます。④使い回さないは特に大事で、1つのサービスから漏れると芋づる式に他のアカウントも乗っ取られます。⑤紙のメモやLINEで友達と共有するのもNG。⑥は次で詳しく説明、⑦は次回の記事で扱います。
パスワードマネージャーという解決策
「12文字のランダムなパスワードをサービスごとに違うものにして、使い回さない」と聞いて、覚えられないと思ったかもしれません。それが普通です。だから世界の専門家は「パスワードマネージャー」というアプリで管理することを推奨しています。代表例はBitwarden(無料)、1Password、Apple純正のキーチェーンなど。マスターパスワード1つだけ覚えれば、あとは自動で生成・記憶・入力してくれます。スマホとPCで同期もできます。
大事なのは、マスターパスワードだけは長く、他では使っていないものにすることです。短い単語ではなく、覚えやすい文を組み合わせた「パスフレーズ」にすると安全性と覚えやすさを両立できます。意味のある文章をそのまま使うのではなく、関係のない単語を数個つなげ、数字や記号を少し混ぜるとさらに強くなります。
パスワードマネージャーは、偽サイト対策にも役立ちます。本物のサイトなら保存済みのパスワード候補が出るのに、偽サイトでは出ないことがあります。これはドメイン名が違うからです。パスワード管理と偽サイト対策は、実はつながっています。
気をつけたい落とし穴
- 「password123」のように単純なものを使う。よく使われる弱いパスワードランキング上位は、最初の数秒で試される
- 友達や恋人に教える。別れた後・ケンカ後に悪用された例は実際に多い
- 同じパスワードを学校・SNS・ゲームで使い回す。1か所漏れたら全部やられる
将来どう役立つ?
パスワード管理は、IT業界に進む人だけのスキルではありません。会社員になっても、社内システム・取引先のサービス・クラウドツールと、扱うアカウント数は増え続けます。「会社の情報を漏らした人」になるかどうかは、本人のセキュリティ習慣次第。中高生のうちにパスワードマネージャーを使う習慣をつけると、社会人になってからも自然に使えます。
特にメール、SNS、ゲーム、クラウド保存、決済サービスは優先度が高いです。メールを乗っ取られると、他のサービスのパスワード再設定まで奪われることがあります。全部を一度に変えるのが大変なら、まずメールとよく使うSNSから始めるだけでも効果があります。
今日からできること
- 自分が使っているSNS・ゲームのパスワードを思い出し、使い回しているものをリストアップする
- Bitwardenなど無料のパスワードマネージャーを保護者と一緒にインストール
- 使い回ししているアカウントから順番に、12文字以上のランダムパスワードへ変更する