パスフレーズとは何ですか?

無制限のオンライン接続と悪質なサイバー犯罪活動が増加する世界では、個人のソフトウェアとハードウェアを安全に保つことは、今日ほとんどすべての人にとって最優先事項です。米国政府のサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は最近、コンピュータのある家庭の3軒に1軒がマルウェアに感染しており、アメリカ人の成人の約47%がサイバー犯罪者によってオンラインで個人情報を漏洩されたと報告した。

このような厳しい数字を考慮すると、優れたサイバーセキュリティ（ほぼすべてのデバイス）は、多くの場合、単純なパスフレーズから始まるということをすべてのユーザーが理解することが重要です。このガイドは、従来のパスワードとは少し異なり、適切な、あるいは「強力な」パスフレーズとは何か、その形式や作成方法を説明することで、自宅のコンピューター（およびオンラインアカウントやその他のデジタルデバイス）を安全に保つのに役立ちます。

パスフレーズとは何ですか?

簡単に言えば、パスフレーズとは、コンピューターやモバイルアプリケーションやストリーミングサービスのアカウントなど、デジタルシステム、ソフトウェア、またはオンラインサービスにアクセスするために使用される文または単語の文字列です。これらは「記憶に残るフレーズ」と呼ばれることも多く、セキュリティの層として他のさまざまな分野でも同様に使用されています。たとえば、銀行業界では、電話バンキングの顧客が自分の口座やその他の銀行サービスにアクセスしようとするときに、その顧客の身元を確認するために覚えやすいパスフレーズが使用されています。

サイバーセキュリティの専門家は、パスフレーズは覚えやすいものの、より多様性に富んだパスワードほど安全ではないと考えています。

パスフレーズの例

広く使用されているパスフレーズの例としては、ユーザーにとって何らかの意味を持つ覚えやすいフレーズがあります。以下に例を示します。

家族の好きなことわざや言い回しで、「七転び八起き」や「石の上にも三年」など。
子供の頃の思い出として、「夏祭りでは必ず金魚すくいをした」や「放課後は夕日が沈むまで鬼ごっこをしていた。」
共通のテーマでつながるランダムな単語として、「富士山、抹茶、寿司、さくら」や「ネコが渋谷で忍者とナルトを習う。」

これらすべてのパスフレーズに共通する明らかな問題は、辞書の単語を使用して作成されているため、サイバー犯罪者がさまざまな手法で簡単に解読および解読できることです。特に、「辞書」攻撃と呼ばれるブルートフォース攻撃の一種です。

辞書攻撃では、ハッカーが専門のソフトウェアと組み合わせてリスト（辞書内の複数の単語またはよく使われるフレーズのリスト）を使用し、ユーザーのアカウントへのパスフレーズを繰り返し推測しようとします。このソフトウェアは、さまざまな形式で推測を入力することもできます (各推測に大文字を入力したり、数字と記号の組み合わせを代入するなど)。また、特定の暗号化プロセスで使用されるキーを推測するためにも同様に使用できます。

ただし、数字、大文字、小文字のバリエーションが追加されると、計算に非常に長い時間がかかり、ハッカーが作業を続行することが不可能になったり、リスクが大きすぎたりする可能性があります。これが、パスフレーズが「強力」かつ一意である必要がある理由です (これについては、この記事の後半で説明します)。

パスワードとパスフレーズ

一般に、パスフレーズは、定義上、通常は追加の数字、記号、または特殊文字を含まないため、パスワードよりも複雑ではない（したがって、解読しやすい）と考えられています。同様に、今日のパスワードは通常、ベストプラクティスを念頭に置いて作成されます。つまり、パスワードは一意であり、10 ～ 12 文字の長さで、特殊文字、数字、大文字、小文字が混在している必要があります。強力なパスワードを作成するという大変な作業をユーザーが省く方法の 1 つは、「パスワードジェネレーター」を使用してプロセスを自動化することです。しかし、一部のサイバーセキュリティの専門家は、固有のパスフレーズはパスワードよりも安全であると主張しています。これは、パスワードジェネレーターと、ジェネレーターのプロセスを模倣するように設計されたハッキングソフトウェアの使用が増加したためです。記憶に残るフレーズを介して「人間的」な要素を追加することは、機械のハッキングアルゴリズムでは解決するのが難しいかもしれません。ただし、一般的に、弱いパスフレーズは、一意の強力なパスワードよりもハッキングされやすくなります。

「パスフレーズ」という単語の画像。

強力/良いパスフレーズとは何ですか?

パスフレーズはハッキングされやすいと考えられるため、適切または強力なパスフレーズは常に約 15 ～ 20 文字の大文字と小文字、および少なくとも 1 つの句読点から構成される必要があります。単語の文字列は、大部分がランダムで、互いに無関係であり、ユーザーのオンライン情報を閲覧することで発見される可能性のある個人情報とは無関係である必要があります (ただし、ユーザーがパスフレーズ自体を思い出せないほどランダムであってはなりません)。

さらに、適切または強力なパスフレーズはパスワードのように扱い、文字や単語の代わりに特殊文字とランダムな数字のセットを使用して作成する必要があります（つまり、「5、6、7、8」や「1、2、3」などのよく使われるシーケンスは避けます）。

強力で優れたパスフレーズを作成するにはどうすればよいでしょうか?

強力で適切なパスフレーズを作成するには、主に、ユーザーがパスフレーズを選択する際に犯しがちな最も一般的な間違いのいくつかを回避する必要があります。まず、短いフレーズの使用は避けてください。パスフレーズが長いほど、ハッキングや推測が難しくなります。次に、予測不可能になるように最善を尽くします。英語の一般的なパスフレーズは、スペースやフレーズなどの従来の文法と文構造に従います。強力なパスフレーズを作成するときは、スペースをランダムに削除または追加したり、名詞と形容詞の順序を入れ替えたりしてみてください。他の言語の文法を使ってフレーズを構成してみることもできます。実際、他の言語の単語や文字を使用することは、パスフレーズを強化する優れた方法です。

強力で適切なパスフレーズを作成する上で最も重要な点は、パスフレーズが一意であり、他のアカウントで類似したり再利用されたりしないことです。新しいパスフレーズは、複数のハードウェアまたはソフトウェアを保護するために使用しないでください。それでも強力なパスフレーズを覚えておくのが心配な場合は、そのパスフレーズを使用する場所を思い出すのに役立つ単語をフレーズに追加してみてはいかがでしょうか。これは、パスフレーズを使用してアクセスするデジタルサービスの名前のような単純なものである可能性があります。たとえば、Facebook の場合は「Crystal Notepad Hydrogen Disk Facebook」、Twitter の場合は「game onion clay pretzel twitter」などです。

優れたセキュリティパスフレーズの例

ここでは、上記の推奨事項を組み合わせた、模倣に適したセキュリティパスフレーズの例をいくつか示します。

“たこYakiは8こdAと満たさレル”
(かな＋英字＋数字＋交互表記 — "たこ焼きは8個だと満たされる")
“0chaトケーkiで休けいしよう”
(数字＋ひらがな＋カタカナの組み合わせ — "お茶とケーキで休憩しよう")
“富士sAnに行こ1う、でもsAkura先”
(漢字＋英語＋数字ミックス — "富士山に行こう、でも桜が先")

上記の例をそのまま使用しないでください。これらは、独自の適切なセキュリティパスフレーズを作成するためのガイドラインとしてのみ提供されています。強力で適切なパスフレーズの最も重要な要素の 1 つは、それが一意であることです。

すべてのパスフレーズやパスワードを記憶しておくのが心配な場合は、パスワードマネージャー(パスワードボールトと呼ばれることもあります) を使用して、必要なときにそれらを保存し、取得することをお勧めします。カスペルスキーパスワードマネージャーは、パスワードとドキュメントを安全なプライベート金庫に保存し、すべてのデバイスからワンクリックでアクセスできます。パスワードは暗号化された金庫に安全に保管され、256 ビット AES (Advanced Encryption Standard) などの業界標準の暗号化を解読することはほぼ不可能です。

パスフレーズに関するよくある質問