「大文字・小文字・数字・記号を含めてください」の正体
新しいアカウントを作るたびに、「パスワードは 8 文字以上、大文字・小文字・数字・記号を含めてください」と言われます。面倒ですよね。しかし、このルールには意外な歴史と、「実はあまり効果がない」という衝撃の事実があります。
すべての始まり - 2003 年の NIST 文書
パスワードの複雑さルールの起源は、2003 年にアメリカ国立標準技術研究所 (NIST) が発行した「NIST Special Publication 800-63」という文書です。この文書が「パスワードには大文字・小文字・数字・記号を混ぜるべき」と推奨し、世界中の Web サービスがこのルールを採用しました。
しかし 2017 年、この文書の著者ビル・バー氏は Wall Street Journal のインタビューで「あのアドバイスの多くは間違いだった」と告白しました。複雑さのルールは、ユーザーに「P@ssw0rd!」のような予測しやすいパターンを使わせるだけで、セキュリティの向上にはあまり貢献しなかったのです。
なぜ複雑なパスワードは効果が薄いのか
人間は複雑さのルールに対して、驚くほど予測可能な行動を取ります。
- 大文字が必要 → 最初の文字だけ大文字にする (Password)
- 数字が必要 → 末尾に 1 や 123 を付ける (Password1)
- 記号が必要 → 末尾に ! を付ける (Password1!)
- 「a」を「@」に、「o」を「0」に置き換える (P@ssw0rd)
攻撃者はこれらのパターンを熟知しており、辞書攻撃のリストに含めています。つまり、複雑に見えるパスワードでも、パターンが予測可能なら簡単に破られます。漏洩したパスワードリストを使い回すクレデンシャルスタッフィング攻撃では、こうした予測可能なパスワードが真っ先に狙われます。
本当に強いパスワードとは
2017 年に改訂された NIST のガイドラインでは、複雑さのルールよりも「長さ」を重視するよう方針が変わりました。パスワードセキュリティの基本を押さえた上で、以下の対策を実践しましょう。
- 長いパスワード (パスフレーズ): 「correct horse battery staple」のように、ランダムな単語を 4〜5 個つなげたパスフレーズは、短くて複雑なパスワードよりも強力で覚えやすい
- パスワードマネージャー: サービスごとに異なるランダムなパスワードを生成・管理するツール。最も安全な方法
- 二要素認証 (2FA): パスワードに加えて、スマートフォンの認証アプリやセキュリティキーを使う。パスワードが漏洩しても不正ログインを防げる
8 文字のランダムなパスワード (大文字・小文字・数字・記号) の組み合わせは約 6 京通り。一方、一般的な英単語 4 つのパスフレーズの組み合わせは約 1.8 京通り。長さの方が複雑さよりも効果的なのです。
世界で最も使われているパスワード
セキュリティ企業 NordPass の調査によると、毎年最も使われているパスワードのトップ 5 はほぼ変わりません。
- 1 位: 123456
- 2 位: password
- 3 位: 123456789
- 4 位: 12345
- 5 位: 12345678
これらのパスワードは 1 秒未満で破られます。パスワードがハッシュ化されて保存されていても、こんなに単純なパスワードでは意味がありません。
まとめ
パスワードの複雑さルールは 2003 年の NIST 文書が起源ですが、著者自身が「間違いだった」と認めています。短くて複雑なパスワードよりも、長いパスフレーズの方が強力で覚えやすい。パスワードマネージャーと二要素認証を組み合わせれば、さらに安全です。パスワードの強化と合わせて、自分の接続環境のセキュリティ状態もIP 確認さんで確認しておくと安心です。
パスワードセキュリティの仕組みを学びたい方には、情報セキュリティの入門書が参考になります。