SNSやWebサービスなどを利用するためにIDとパスワードによる認証が使われています。通常使われているパスワードは、使い方や設定する文字列によっては強度が弱くリスクが高いため、実際に不正アクセスなどの被害に遭う可能性があります。
そこでパスワードよりもさらにセキュリティを高くした技術として「パスフレーズ」が誕生しました。パスフレーズはパスワードとはどのように異なるのでしょうか。メリットとデメリット、そして使用時の注意点などのも含めて徹底解説します。
パスフレーズとは
パスフレーズとは、パスワードと同様に使われる文字列ですが、概ね10文字から数十文字以上の長い文字列から構成されているものを指します。1つの単語ではなく、複数の単語の組み合わせや、1つのまとまった文章として設定されています。
パスフレーズとパスワードの違い
パスフレーズとパスワードは、以下の2点の違いがあります。
文字数
一般的にパスワードの文字列は8桁から10数桁程度の長さが上限となっています。利用者は上限以上の桁数のパスワードの設定は不可能です。しかしパスフレーズで設定できる文字列は数十桁以上の長さを持つ文字列が設定可能です。
スペースの有無
パスワードとして設定できる文字種は、「アルファベットの大文字と小文字」「数字」「記号」であることが一般的です。しかしパスフレーズでは、これらに加えて「スペース(空白)」の利用が可能です。これはパスフレーズが複数の単語を組み合わせる「文章」であることを前提としているため、単語と単語をつなげる役割として、スペースの利用が可能とされています。なお実際にパスフレーズを設定する場合、必ずしもスペースを使用することが強制されているわけではありません。
パスフレーズのメリット
パスフレーズには以下の2つのメリットがあります。
総当たり攻撃の対策になる
パスフレーズを使用することで、総当たり攻撃(ブルートフォース攻撃)の対策となります。総当たり攻撃とは、あらゆる文字の組み合わせをパスワードとして連続で使い続け、特定のIDに対して不正アクセスを仕掛ける攻撃のことです。
攻撃対象となったアカウントが、桁数や使用文字種の少ない弱いパスワードを使用している場合、総当たり攻撃による不正アクセスが成功しやすくなります。
しかしパスワードではなくパスフレーズを利用することで、設定される文字列の桁数が長くなり、総当たり攻撃による不正アクセス成功確率が下がり、セキュリティ面で安全になります。
覚えやすくセキュリティ強度が高い
強いパスワードと言えるのは、アルファベットや数字だけでなく記号も含めたある程度の長さを持つ文字列です。そのため文字列としては意味不明なものになりがちで覚えにくいというデメリットがあります。
さらにパスワードの文字列として固有名詞や有名な単語を使用する場合、利用者は覚えやすいのですが、辞書攻撃の対象となるリスクが高まります。
しかしパスフレーズの場合、利用者にとってなじみのある単語を選択しても、それらを複数組み合わせて使うため、結果としてセキュリティ強度の高い文字列になります。覚えやすい文字列でも長文となることで、ある程度のセキュリティ強度となるわけです。
パスフレーズのデメリット
有用なパスフレーズですが、パスワードにはないデメリットもあります。
パスワードに比べ利便性が低下する(入力する文字数が長いと)
パスフレーズは設定する文字列が長いため、パスワードと比べて利便性が低下することがあります。例えば、パスフレーズを設定できるサービスを初めて使う場合、設定したパスフレーズの文字列を正確に覚えきれてなくて、ログインできなくなったりすることもあるでしょう。使い続けていれば、このような問題は解決しますが、当面はある程度の利便性が低下する可能性もあるわけです。
パスフレーズを使用する際の注意点
パスフレーズを使用する際には以下の3つの点に注意しましょう。
推測可能なフレーズは使用しない
まず推測可能なパスフレーズの使用は避けましょう。例えば有名な歌の歌詞の一部をパスフレーズとしてそのまま使ったり、同じ単語や固有名詞を繰り返した文字列などをパスフレーズとして設定したりすると、攻撃者に推測される可能性が高くなるため、おすすめできません。
パスフレーズの使い回しをしない
たとえ複雑で推測困難なパスフレーズでも、使いまわすことはおすすめできません。パスフレーズとして強い文字列を設定していても、脆弱性のあるSNSやWebサービスから設定したパスフレーズが漏洩する可能性がないとも言えず、別のSNSやWebサービスへの不正アクセスに使われることがあるからです。
悪意のある攻撃者が、どこかから入手したIDとパスワードのリストを使って不正アクセスする攻撃のことをパスワードリスト攻撃と言います。
例えば、サービスAとサービスBで「X」というパスフレーズを設定していたとしましょう。この時、攻撃者がサービスAに侵入してパスフレーズのリストの入手に成功して、サービスBに対して入手したパスフレーズのリストを使って不正アクセスを試みるとします。サービスAで使用していた「X」というパスフレーズは流出しているため、攻撃者はサービスBに対しても「X」のパスフレーズで不正ログインを試みることは容易に想像できます。
つまり複数のSNSやWebサービスで同一のパスフレーズを使っていると、パスフレーズの強度に関係なく不正ログインの原因となってしまいます。パスフレーズがいかに強固であっても、パスワードと同様に使いまわしをしないというのは鉄則です。
公衆無線LAN(Wi-Fi)でむやみにパスフレーズを入力しない
公衆無線LAN(Wi-Fi)ではむやみにパスフレーズを入力しないほうが良いでしょう。特にパスワード不要の暗号化されていない場合は要注意です。悪意のある攻撃者が公衆無線LANの通信を盗聴して、やり取りされている情報が窃取している可能性があります。もしパスフレーズを入力すると、その文字列も盗聴されてしまうかもしれません。
公衆無線LANは便利ですが、プライベートな通信環境ではありません。ちょっとしたネットサーフィン程度なら問題ないかもしれませんが、IDとパスワードが必要なWebサイトへのログインや、重要な情報のやり取りは控えた方が良いでしょう。
まとめ
パスワードをさらに強固にしたものとして、パスフレーズを紹介しました。長い文字列で構成されるパスフレーズは、特に総当たり攻撃に対して有効な対策となります。
しかしパスワードと同様のデメリットがあることは無視できません。
パスフレーズは推測困難な文字列を設定し、使いまわさない、そして公衆無線LANでは入力を控えるなどは、パスワードと同様の注意点です。「自分はパスフレーズを使っているから安心だ」思い込まずに、適切な管理を心がけることを忘れないようにしましょう。