強いパスワードの条件
安全なパスワードには以下の条件が求められます。
- 12文字以上:重要なアカウントは16文字以上を推奨。文字数が増えるほど総当たり攻撃(ブルートフォース)に対して指数関数的に強くなります。
- 4種類の文字を混在:大文字(A-Z)・小文字(a-z)・数字(0-9)・記号(!@#$など)をすべて含める。
- 推測されにくい:誕生日、名前、「password」「123456」などの単純な文字列は使用しない。
- サービスごとに異なる:同じパスワードを使い回すと、1つのサービスで漏洩した際に他のアカウントも危険にさらされます。
パスワードクラッキングの現実
現代のパスワードクラッキングツールがどれほど強力か、文字数別の解読時間の目安を紹介します。
- 8文字・数字のみ:数秒
- 8文字・英数字:数分〜数時間
- 12文字・英数字+記号:数百年以上
- 16文字・英数字+記号:事実上解読不可能
文字数を増やすことが最も効果的なセキュリティ対策です。
パスワードマネージャーの活用
サービスごとに異なる強力なパスワードを人間が記憶するのは不可能です。そこで活躍するのがパスワードマネージャーです。
パスワードマネージャーを使えば、マスターパスワード1つを覚えるだけで、何百ものアカウントで異なる強力なパスワードを安全に管理できます。主要サービスとしては1Password、Bitwarden(無料・オープンソース)、LastPassなどがあります。
二要素認証(2FA)との組み合わせ
強いパスワードに加え、二要素認証(2FA)を有効にすることで、万が一パスワードが漏洩しても不正ログインを防げます。SMS認証よりも認証アプリ(Google Authenticator、Authy)のほうがSIMスワップ攻撃に強く推奨されます。
やってはいけないパスワード管理
- テキストファイルやスプレッドシートに平文で保存する
- メールやチャットでパスワードを送信する
- ブラウザの標準パスワード保存のみに頼る(デバイス盗難時のリスク)
- 定期的な変更を義務付ける(強制変更は逆に弱いパスワードを生む傾向がある)