コアパスワード方式は実用性と安全性のバランスがとれている

SECURITY
2020.01.19

パスワード管理の煩雑さは誰もが感じていることと思います。指紋など生体認証を用いるのもベターな方式でしょうが、個人では使用機会がない場合もありますし、どのような場合でも使用可能とは限らないと思います。

パスワード管理アプリや紙に残すアナログな方法など、パスワード管理の方法は幾つかありますが(当然、使い回しは論外として)、それぞれメリット・デメリットがあります。

この記事で説明するコアパスワードを使用した方式は、完璧とは言い切れませんが、比較的、実用の面では運用がしやすく、かつ、複雑にするといったパスワードが満たすべき安全性を、それなりには保つ方法のように思います。

ちなみに、情報処理推進機構(IPA)も紹介している方法でもあります (2019年9月時点)。

最近のパスワード事情も踏まえつつ、すっきり説明してみます。

コアパスワードの具体例

コアパスワードを使った方法というのは、

  1. 複雑性の要件を満たすコアパスワードを1つ作る
  2. 実際に設定するパスワードに付加する個別の文字列を作る
  3. (1)と(2)を組み合わせる

というものです。

例えば、
コアパスワードを「rI8%s\4sSa」とします。
各サービスごとの文字列を決めます。Googleなら「GoO」、Yahooなら「YaH」、Amazonなら「AmA」など。

上記を組み合わせ、パスワードを設定します。

上の例の場合、
Google: rI8%s\4sSaGoO
Yahoo: rI8%s\4sSaYaH
Amazon: rI8%s\4sSaAmA
となります。

単純だと1つが漏れた時に他が推測されやすいので複雑な作成ルールを設けても効果的です(アルファベットを一文字ずらす、とか)。多少ルールをアレンジしてもよいかもしれません。

この方法だと、個別のパスワードの安全性を保ち、単一パスワードの使い回しという最大の御法度を避けることが可能です。

覚えるのはコアパスワードとルールの2点だけで、それぞれバラバラに設定したものを覚えるよりも記憶の負荷が少なくなります。完璧とまでは言いませんが、比較的、実用性と安全性のバランスがとれたパスワードの管理方法です。

情報処理推進機構のサイトにも説明がありますので、ご興味があればどうぞ。

不正ログイン被害の原因となるパスワードの使い回しはNG | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
情報処理推進機構(IPA)の「不正ログイン被害の原因となるパスワードの使い回しはNG」に関する情報です。
www.ipa.go.jp

パスワード管理アプリ(パスワードマネージャー)との比較

ネットでググるとパスワード管理アプリを使用した方法も、よく紹介されています。

スマホのアプリ(KeePassなど)や、専用のソフトウェアを使った方法(macOSのキーチェーンアクセスGoogle Password Managerなど)もメリットの多い方法ですが、実用面で完璧とは言えないような気がします。

メリット

1.マスタパスワードだけ覚えれば良い

パスワード管理アプリ(ないしパスワードマネージャー)を開く時だけパスワードを入力します。

GoogleやfacebookやInstagramのパスワードは各々複雑なものに設定し、ログインする時にコピペするだけです。(自動的にセットしてくれるものもあります)。

ちなみに、PCのブラウザにIDとパスワードを記憶させる方法もありますが、快適ですが良い方法かどうかは疑問です。席を離れたタイミングなどで誰かに見られてしまう可能性が考えられます(NISC 2009, p.57)。

2.自動パスワード生成ができるものもある

自動的に強度のあるパスワードを作成してくれる機能があるアプリもあります。LastPassは記号、数字を入れるかとか、パスワードの長さも設定可能ですので、サイトのパスワードポリシーに合わせた自動生成もdけいます。いちいち考えなくて良いので便利ですね。

デメリット

若干、経験・主観を含みます。

1.便利とは限らない

自動的にパスワード欄にセットしてくれるツールもありますが、コピペしないといけない場合もあります(iOSのWi-Fiパスワードとか、そうじゃないでしょうか)。

スマホのパスワード管理アプリだと、画面を見ながらPCに手入力をしないといけません。

ログイン状態を一定期間保持して問題無ければそれほど面倒ではありませんが、毎回やると、案外不便に感じるかもしれません。

ただ、LastPassや有償の1Passwordについては、各OS・ブラウザ毎にアプリ・拡張機能を提供しているので、わりと便利です。

3.クラウド等で共有すると漏洩のリスクが増える

これはKeePass限定かもしれませんが、KeePassではパスワード保管用ファイルを作成でき、共有ができます。これをクラウドドライブなどで共有して、各端末でパスワードを共有することが可能です。

マスタパスワードが設定されているとは言え、ただ、様々な場所に分散すると漏洩のリスクは高まりまりそうです。

パスワード管理ソフトは便利ではありますが、新しいツールを導入しないといけない上、使用するシーンによってはむしろ面倒な場合もあります。

管理が面倒だと結局使われない

これはちょっと興味深いことですが、最近のパスワード事情です。

パスワードの定期変更は不必要なのが最新の常識

以前はパスワード定期変更なんて常識でしたが、今は逆です。

なぜかと言うと、定期変更のルールの下では、ユーザーは簡単なパスワードを使い回す傾向にあることが研究で分かったからです。

総務省の啓発サイトにも、明確に記載があります。

実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。

国民のための情報セキュリティサイト – 安全なパスワード管理(総務省)

面倒な管理方法だと、結局は使われなくなるようですね。

この件でよく引用されるのが、NIST (アメリカの情報技術の標準などを定める国の機関)の文書です。

(memorized secrets: パスワードのこと)定期的に変更すべきではない、と警告しています。

Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically)

Digital Identity Guidelines(NIST Special Publication 800-63B) 2017

つまり、

パスワードの定期変更はわざわざしなくてよい

が今の常識です。
でも、これを知らず、今でも啓発してるサイトがあるようですが。

とはいえ、コアパスワード方式も完ぺきではなさそう

実用面と安全性で比較的バランスのとれた方法ではありますが、デメリットがないわけではありません。

パスワードが1つ漏洩すると他のパスワードも推測されやすい

コアパスワードに付加する文字列の作成ルールが単純すぎると、容易に推測がつくと思います。

Googleなら「コアパスワード+g」、Yahoo!なら「コアパスワード+y」といった感じに。

コアパスワードを十分な強度にし、ルールも少しは工夫したものにし、漏洩さえしなければ比較的安全であるとは思いますが。

補足:パスワードの強度を確かめる方法

コアパスワード(というかパスワード全般)はある程度の強度である必要があります。
よく言われるように、英数字、大文字・小文字交じり、記号を使用するのが理想。

どれ程の安全性なのかは、以下のKasperskyのサイトでチェックできます。
解読に数十年かかる程度であれば、まず安全でしょう。

Kaspersky: Secure Password Check
パスワードは賢く選びたいもの。どんなパスワードなら強度が十分か、このWebサイトで試してみましょう。
password.kaspersky.com

実用面では優れている(と思う)

デメリットもありますが、「コアパスワード」は実用的で、かつ、それなりに安全性が確保できるものであると思います。

上記、Kasperskyのサイトで強度のあるコアパスワードを作りさえすれば、ブルートフォース(文字列総当たりでパスワードを探索する方法)、辞書攻撃には強くなると思います。

正直、パスワードマネージャーを使う方法だってマスターパスワードが漏洩しれしまえば、全て漏洩してしまうんです。

補足:2段階認証が使えるなら、使うべき

加えて不正ログイン対策に2段階認証を使用すると効果的でしょう。
AmazonやiCloudなどはクレジットカードの情報を憶えていますので、特に重要。

携帯のSMS、Microsoft Authenticater、Google 認証システムなどに、認証用テキストが送られるものです。

携帯(もしくは認証用アプリが入ったデバイス)を持っていないとログインできない、というものなので、重要な情報があるアカウントであれば使用すべきでしょう。

それ程面倒な方法ではありません。

情報処理推進機構のサイトに、Apple、Google、Microsoftアカウント、Yayoo! Japan IDの設定方法も含めて解説されていますので、参考までに。

不正ログイン対策特集ページ | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
情報処理推進機構(IPA)の「不正ログイン対策特集ページ」に関する情報です。
www.ipa.go.jp

補足:パスワード管理ソフトを使うならLastPassが良さそう

※2020/11/29追記

1Passwordは有償ですが、LastPassは無料プランが存在しますので、個人で使用する場合ならこの無料プラン(フリーミアムですが)で十分足りそうです。

LastPassはブラウザ毎の拡張機能・iOSアプリも用意されていますので、端末間で共有も可能だし、自動でパスワードを生成する機能もあります。

ご興味があれば、どうぞ。

#1 Password Manager & Vault App with Single-Sign On & MFA Solutions | LastPass
Gobeyondsavingpasswordswiththebestpasswordmanager!Generatestrongpasswordsandstoretheminasecurevault.Nowwithsingle-signon(SSO)andadaptiveMFAsolutionsthatintegrat...
www.lastpass.com

まとめ

コアパスワードを使用した方法も完ぺきではありませんが、正直、利便性などを考えると他の方法にもメリット・デメリットはあります。

ご自身の環境に即して適切なものを選ぶ、という前提ですが、コアパスワードを使用した管理方法も決して悪い方法ではありません。

以上です。
終わり。