パスワード
出典: フリー百科事典『ウィキペディア(Wikipedia)』
パスワード(Password)とは、一般的に合い言葉を指すが、特にコンピュータ関連で使用する場合は、特定の機能を使用する際に認証を得るため入力する文字及び数字の羅列を指す。多くの場合、その利用者が本人であることを確認するもので、その利用者のみが知る文字列を用いる。
目次 |
概説
通常はユーザIDと対にして用いる。あらかじめ登録されているそのユーザIDのパスワードと、操作者によって入力されたパスワードが一致していることによって、操作者がそのユーザIDの使用者本人であると認識する。
パスワードのうちで、数字のみで構成される文字列を暗証番号(あんしょうばんごう、PIN、personal identification number)という。金融機関のATMや携帯電話の本人確認で利用される。
プロバイダへの接続やウィキペディアにおいてもログインするためにパスワードが必要となる。
文字列の長さが数十文字以上と長いパスワードのことを特にパスフレーズと呼ぶことがあり、高いセキュリティが必要なシステムで用いられる。
多くのシステムでは、パスワードに用いることのできる文字はアルファベット(ラテン文字)26文字か52文字(大文字・小文字が区別される場合)、アラビア数字10文字、「+-/!"#|_」などの記号に限定されているが、マルチバイト文字を用いることができるものもある。
パスワードの発見
パスワードやクレジットカードの番号を入手することで、他人になりすましてさまざまな利益が得られることから、パスワードを発見するということがしばしば行われてきた。理論上は総当りですべての文字列を試してみればいつかは正しいパスワードを発見可能なことは容易にわかるが、大変な労力が必要なので実際はあまり行われない。
また、複数回間違ったパスワードを入力すると、システムがそれ以降の入力を拒否するようになっている場合もある。(金融機関の現金自動預け払い機では、間違った暗証番号を3回入力すると以降はそのカードは有人窓口以外での取り扱いができなくなってしまう。ドアの電子錠では回路がクラッキングと判断して自己破壊するものもある)
パスワードは任意の文字列で構成されるが、完全にランダムということはほとんどなく、実際は覚えやすい文字列で構成される場合が多い。その性質を利用して、辞書に載っている単語や人名を入力することで、パスワードを発見する効率を高めるソフトウェアもある。(辞書攻撃の項を参照されたし)
銀行のキャッシュカードやクレジットカードに設定されている暗証番号については生年月日、自動車のナンバー・電話番号や「1111」「1234」のような覚えやすい番号(いわゆるキリ番)が設定されている場合が多いが、近年発生しているクレジットカードやキャッシュカード窃盗やスキミング等の事件に於いては、日本ではじつに57%の例で生年月日を入力されて現金を引き出されている[1]。このような事例では、これらの犯罪被害者に行われていた被害補償に於いて、預金者自身にも過失があるものとみなし、全く補償されないか、補償が半分以上も減ぜられることもある[2]。ただし、上記のような事情から、他人に簡単に推測されやすい、生年月日や電話番号をそのまま暗証番号としては登録できないようにしている金融機関も多い。
キャッシュカードや携帯電話端末の暗証番号はわずか4桁だけしかない場合が多く、0000〜9999の、せいぜい10000回試せば暗証番号を発見できることから、番号を忘れてしまった場合に全部の番号を試すソフトウェアが存在する(総当たり攻撃の項を参照されたし)。
誰でも思いつくような覚えやすい文字列でパスワードを設定することは避けるようにすべきだというのが、セキュリティ専門筋の共通見解であるが、パスワードをランダムな文字列の羅列にし、かつ文字数を多くするあまり、中には自分自身でも覚えられないパスワードを設定する人も見られ、本末転倒な事態に陥るケースも見られる。他方では、その余りにも覚え難いパスワードをメモに記録して携帯または保管する向きもあるが[3]、ソーシャル・エンジニアリングによってパスワードを盗まれる事態も発生しているだけに、注意が必要である。
定期的にパスワードを変更する事で、たとえ盗難にあってもすぐに無効化できるため、任意のパスワードを設定できる所では、定期的なパスワード変更が推奨されている。近年では現金自動預け払い機においても、その場の機械操作だけで暗証番号が変更できるものが見られる。ただし、この場合変更前のパスワードを覚えていないと変更することができない。
関連項目
- 生体認証
- キーワード
- パスワードと混同される場合があるが、意義や目的が異なる。
- アイデンティティ管理
脚注
- ^ 偽造キャッシュカード問題に関する実態調査結果の概要(金融庁)
- ^ 偽造キャッシュカード問題に関するスタディグループ中間取りまとめ(金融庁)
- ^ 【CRYPTO-GRAM日本語版】パスワードを書き留めよう(日経BP社 IT pro security、Bruce Schneier)など