2026年パスワードセキュリティのベストプラクティス
目次
パスワード危機
パスワードはデジタルライフの鍵ですが、ほとんどの人がそれを驚くほど無頓着に扱っています。調査によると「123456」「password」「qwerty」が世界中で最も一般的に使用されるパスワードに含まれ続けています。65%以上の人が複数のアカウントでパスワードを再利用しています。平均的な人は100以上のオンラインアカウントを持っており、手動でのパスワード管理は事実上不可能です。
その結果は深刻です。認証情報ベースの攻撃がデータ漏洩の大半を占めています。あるサービスが侵害されてパスワードが露出すると、攻撃者は自動化ツールを使って他の何百ものサービスでそれらの認証情報を試します。この技術はクレデンシャルスタッフィングと呼ばれ、成功率は約1〜2%です。しかし、流通している数十億の漏洩認証情報を考えると、これは数百万の侵害されたアカウントに相当します。
「パスワードレスの未来」の予測にもかかわらず、パスワードの問題はなくなりません。パスワードは依然として圧倒的多数のオンラインサービスの主要な認証メカニズムです。パスワードを適切に管理する方法を学ぶことはオプションではなく、必須です。
パスワード攻撃の解剖学
攻撃者がどのようにパスワードを解読するかを理解することで、特定のプラクティスが必要な理由が明確になります:
ブルートフォース
攻撃者はあらゆる可能な文字の組み合わせを試します。現代のハードウェアは毎秒数十億の組み合わせをテストできます。小文字のみの単純な8文字パスワードは約2090億の組み合わせがありますが、これは多く聞こえますが、専用ハードウェアで数分で網羅できます。混合文字の16文字パスワードは約10^30の組み合わせがあり、ブルートフォースは実行不可能になります。
辞書攻撃
ランダムな組み合わせの代わりに、攻撃者は一般的な単語、フレーズ、既知のパスワードパターンを試します。数百万の以前に漏洩したパスワードのリスト、一般的な置換(aの代わりに@、eの代わりに3)、人気のあるフレーズを使用します。実際の単語や予測可能なパターンに基づくパスワードは、置換がどれほど巧妙だと思っても、辞書攻撃に対して脆弱です。
クレデンシャルスタッフィング
あるサービスからパスワードデータベースが漏洩すると、攻撃者は同じユーザー名とパスワードの組み合わせを他のサービスで自動的に試します。ほとんどの人がパスワードを再利用しているため、この技術は壊滅的に効果的です。1つの漏洩したパスワードが数十の侵害されたアカウントに波及する可能性があります。
フィッシング
技術的にパスワードを解読するのではなく、フィッシングはユーザーを騙して偽のログインページに自発的に認証情報を入力させます。パスワードの複雑さはどれほどあっても、攻撃者のウェブサイトにパスワードを入力してしまえば役に立ちません。
強力なパスワードの作成
強力なパスワードには3つの必須の特性があります:長さ、ランダム性、一意性です。
長さが最も重要な要素です。追加の各文字は可能な組み合わせの数を指数関数的に増加させます。16文字のパスワードは8文字のパスワードの2倍の強さではなく、数十億倍強力です。少なくとも16文字を目指してください。20文字以上がより良いです。
ランダム性とは、パスワードに認識可能な単語、パターン、個人情報が含まれないことを意味します。コンピューターによって生成された真にランダムなパスワードが理想的です。人間が作成したパスワードは、創造的であろうとしても、攻撃者が悪用できる予測可能なパターンに従う傾向があります。
一意性とは、すべてのアカウントが異なるパスワードを持つべきことを意味します。これにより、あるサービスの侵害が他のアカウントを危険にさらすことがなくなります。パスワードマネージャーを使えば、これは簡単です。
覚える必要があるパスワード(マスターパスワードなど)には、パスフレーズを使用してください:4〜6個のランダムに選択された単語です。「correct horse battery staple」が有名な例ですが、ランダムな単語ジェネレーターを使って自分のものを生成すべきです。パスフレーズは強力で覚えやすいの両方を兼ね備えています。
パスワードマネージャー:必須のツール
パスワードマネージャーは、あなたが採用できる最も重要なセキュリティツールです。すべてのアカウントに対して強力でユニークなパスワードを生成し、暗号化されたボルトに保存します。覚える必要があるのは1つのマスターパスワードだけです。パスワードマネージャーが残りすべてを処理します。
ShadowVaultにはゼロ知識パスワードマネージャーが内蔵されています。パスワードボルトはマスターパスワードから導出された鍵を使ってデバイス上で暗号化されます。サーバーは暗号化されたデータのみを保存し、パスワードにアクセスできません。つまり、サーバーが侵害された場合でも認証情報は保護されます。
パスワードマネージャーで探すべき主要機能:
- ゼロ知識暗号化 — プロバイダーがボルトにアクセスできるべきではありません。
- クロスデバイス同期 — すべてのデバイスでパスワードにアクセスできます。
- 自動入力 — ウェブサイトやアプリで認証情報を自動的に入力します。これはドメインを確認するため、フィッシングに対する保護にもなります。
- パスワードジェネレーター — オンデマンドで強力なランダムパスワードを作成します。
- 漏洩モニタリング — 認証情報が既知のデータ漏洩に含まれている場合に警告します。
- セキュアノート — パスワード以外の機密情報(回復コード、PINなど)を保存します。
二要素認証
二要素認証(2FA)はパスワード以外の第二の確認ステップを追加します。パスワードが侵害されても、攻撃者はアカウントにアクセスするために第二の要素が必要です。これにより、アカウント侵害のリスクが劇的に減少します。
ハードウェアセキュリティキー(FIDO2/WebAuthn)は最も強力な2FA方法です。YubiKeyのような物理キーはフィッシングに耐性があります。なぜなら、認証プロトコルがウェブサイトのドメインを検証するからです。偽のログインページではキーがトリガーされません。SIMスワップに対しても免疫があり、リモートで傍受することもできません。
認証アプリ(TOTP)は30秒ごとに変わる時間ベースのコードを生成します。Authy、Google Authenticator、OS内蔵の認証機能などのアプリは良好なセキュリティを提供します。SIMスワップに対して脆弱ではありませんが、高度なリアルタイムフィッシング攻撃には敗北する可能性があります。
SMSコードはSIMスワップ攻撃やSS7プロトコルの脆弱性のため、最も弱い2FA方法です。しかし、SMS 2FAは2FAなしよりも大幅に優れています。より強力な方法が利用できない場合に使用してください。
2FAをサポートするすべてのアカウントで有効にし、優先順位をつけてください:メールアカウント(他のすべての回復メカニズム)、金融アカウント、クラウドストレージ、ソーシャルメディア、メッセージアプリ。
パスキー:認証の未来
パスキーは認証技術の重要な進化を表しています。FIDO2/WebAuthn標準に基づき、パスキーは公開鍵暗号を使用してパスワードを送信せずに認証します。デバイスは各サービスに対して一意の暗号鍵ペアを作成します。秘密鍵はデバイスに留まり、公開鍵はサービスに保存されます。
パスキーでログインすると、デバイスは暗号チャレンジ・レスポンスを通じて秘密鍵を持っていることを証明します。秘密は送信されないため、フィッシングするものがありません。各パスキーは特定のウェブサイトにバインドされているため、偽のログインページでは認証がトリガーされません。パスキーはサービス間で再利用できず、侵害するパスワードデータベースもありません。
Apple、Google、Microsoftを含む主要プラットフォームがパスキーをサポートしています。導入は増加していますが不均一です。多くのサービスはまだ従来のパスワードに依存しています。パスキーが普遍的に採用されるまで、パスワードマネージャーは認証方法の組み合わせを管理するために不可欠です。
アカウント復旧のセキュリティ
アカウント復旧メカニズムは見落とされがちな攻撃ベクトルです。セキュリティの質問(「お母さんの旧姓は?」)は特に弱いです。答えがしばしば公開されているか、簡単に推測できるためです。セキュリティの質問を追加のパスワードとして扱い、パスワードマネージャーにランダムで偽の回答を保存してください。
回復用メールアドレスは最も強力な認証で保護すべきです。回復用メールは他のすべてのアカウントへのマスターキーです。侵害された場合、リンクされたすべてのアカウントが危険にさらされます。
回復コードとバックアップ鍵を安全に保存してください。サービスがバックアップ2FAコードを提供した場合、デスクトップのテキストファイルではなく、パスワードマネージャーのセキュアノートに保存してください。これらのコードは事実上アカウントへのマスターキーです。
パスワード衛生の習慣
- パスワードを共有しない — メッセージでも、メールでも、電話でも。アクセスを共有する必要がある場合は、サービスの内蔵共有機能やパスワードマネージャーの安全な共有機能を使用してください。
- 定期的に漏洩を確認 — Have I Been Pwnedやパスワードマネージャーの漏洩モニタリングを使用して、認証情報が露出していないか確認してください。
- 共有デバイスからログアウト — 管理していないデバイスにパスワードを保存しないでください。
- 共有コンピューターでの自動入力に注意 — 個人デバイスでのみ自動入力を使用してください。
- 侵害されたパスワードは直ちに更新 — 漏洩が検出されたら、攻撃者が悪用する前にパスワードを変更してください。
- 仕事と個人で異なるパスワードを使用 — 認証情報を区分化して、単一の侵害の影響範囲を制限してください。
アクションプラン
- 今日パスワードマネージャーをセットアップ — ShadowVaultの内蔵パスワードマネージャーがこれをシームレスにします。すべてのアカウントに対して強力でユニークなパスワードを生成して保存してください。
- 最も重要なパスワードを最初に更新 — メール、銀行、クラウドストレージ、ソーシャルメディア。20文字以上の新しいランダムパスワードを生成してください。
- すべての場所で2FAを有効化 — メールと金融アカウントから始めてください。SMSではなく、ハードウェアキーまたは認証アプリを使用してください。
- 強力なマスターパスワードを作成 — 覚えられる5単語以上のランダムなパスフレーズを使用してください。
- 既存の漏洩を確認 — Have I Been Pwnedでメールアドレスを確認し、侵害されたアカウントに対処してください。
- 復旧メカニズムを保護 — パスワードマネージャーに保存されたランダムな回答でセキュリティの質問を更新してください。
よくある質問
パスワードはどのくらいの長さにすべきですか?
最低16文字ですが、長いほど良いです。20文字以上のランダム生成パスワードは優れたセキュリティを提供します。パスフレーズ(ランダムな単語の列)の場合は、少なくとも5単語を使用してください。パスワードマネージャーが複雑さを処理してくれます。覚える必要があるのはマスターパスワードだけです。
パスワードを定期的に変更すべきですか?
90日ごとにパスワードを変更するという古いアドバイスは時代遅れです。NISTは現在、侵害の証拠がある場合にのみパスワードを変更することを推奨しています。頻繁な強制変更は、ユーザーが最小限の修正を行うため、より弱いパスワードにつながります。代わりに、ユニークで強力なパスワードを使用し、侵害が検出された場合に変更してください。
パスワードマネージャーは安全ですか?
はい。ゼロ知識暗号化を備えた信頼できるパスワードマネージャーは、認証情報を管理する最も安全な方法です。パスワードはプロバイダーがアクセスできないマスターキーで暗号化されます。代替手段であるパスワードの再利用や平文での保存の方がはるかに危険です。
最良の二要素認証方法は何ですか?
ハードウェアセキュリティキー(FIDO2/WebAuthn)が最も強力で、次に認証アプリ(TOTP)が続きます。SMSベースの2FAはSIMスワップ脆弱性のため最も弱いですが、2FAなしよりはまだ良いです。各アカウントで利用可能な最も強力な方法を使用してください。
パスワードがデータ漏洩に含まれていた場合、どうすべきですか?
侵害されたパスワードを直ちに変更し、同じパスワードを使用していた他のアカウントも変更してください。影響を受けたアカウントで2FAを有効にしてください。不正アクセスや変更を確認してください。パスワードマネージャーを使用して、二度とパスワードを再利用しないようにしてください。