All Articles
    Select article
     

    強力なパスワードを作成する方法

    目次

    パスワードとは

    パスワードとは、本人確認のために使用される秘密の文字列であり、メールアカウントやアプリケーション、デバイスなどへのアクセスを保護する役割を担います。パスワードは、データの安全性を確保し、不正アクセスやアカウントの悪用を防ぐために不可欠です。

    インターネット上では、利用するすべてのアプリケーションが、ユーザー名とパスワードによる認証によって安全に情報を保護できることが求められます。ユーザー名は、メールアドレスや任意のIDである場合がありますが、パスワードは本人確認のために用いられる重要なセキュリティ要素です。

    パスワードは、サービスへの登録時やデバイスの初期設定時に、ユーザー自身によって作成されます。

    一般的に、パスワードの長さに明確な制限はありませんが、英大文字・小文字、数字、記号を組み合わせて構成することで強度が高まります。多くのアプリケーションでは、セキュリティを維持するために最低文字数や複雑さに関するガイドラインが設けられています。

    強力なパスワードを作成する

    強力なパスワードとは

    強力なパスワードとは、ユーザーが設定した非常に推測しにくい安全で強力な単語やフレーズのことを指します。以下のポイントは、簡単にハッキングされない強力なパスワードの属性を示しています。           

    • 12文字以上の長さ

    • 混合コンテンツ

    • 記憶に残りやすくユニーク

    • 繰り返し使用しない

    • 各アプリにカスタマイズ

    • 設定された時間で期限切れ

    • 平文で保存しない

    • パスワードジェネレーターを使用して生成 

    • パスワードマネージャーを使用して管理 

    • 多要素認証 

    • パスワードポリシーを強制 

    強力なに必要な要素

    1. 長いパスワード

    強力なパスワードのためには、文字列に最低12文字を使用することが強く推奨されます。長いパスワードは一般的に解読が難しいです。攻撃者はブルートフォース法と呼ばれる方法を使用します。これは、さまざまなアルファベット、数字、特殊文字などの異なる組み合わせを試す方法です。パスワードが長い場合、ブルートフォース法では簡単にパスワードを解読することができません。ほとんどのアプリケーションには、一定回数の誤った試行を許可し、その後アカウントが一定時間ロックされるセキュリティ機能があります。

    例:

    • $ummerOf2022
    • Ar+@#ear+2022

    2. パスワードに混合コンテンツを使用する

    強力なパスワードを作成するために、パスワードには数字、特殊文字、大文字と小文字のアルファベットを含めてください。

    例:

    • M3x!c0$p!55@
    • (al!Forn!@>

    3. 忘れられないユニークなパスワード

    場合によっては、長いパスワードを設定したユーザーが自分のパスワードを忘れてしまうことがあります。そのため、覚えやすいユニークなパスワードを作成することが推奨されます。パスワードマネージャーを使用している場合、パスワードはランダムな文字列で構成されているため、ユーザーが覚えることはできず、パスワードの作成と使用にはパスワードマネージャーが必要になります。

    パスワードマネージャーを持っていない場合、覚えやすく、かつユニークなパスワードを作成する必要があります。以下に、長くて覚えやすいユニークなパスワードを作成するためのいくつかのヒントを示します: 

    • 誕生日、電話番号、配偶者の名前、両親の名前、子供の名前、ペットの名前など、自分に関連する情報をパスワードとして使用しないでください。これらの詳細を知っている他の人がアクセスする可能性があります。
    • パスワードのベースフレーズを作成することができますが、そのベースフレーズを辞書に載っていないフレーズに変更することを忘れないでください。
    • 母音文字を特定の特殊文字や数字に置き換えます。(a - @, e - 3, i - !, o - 0, u - * )。同様に、他の文字に対しても置き換えパターンを作成できます。(s - $, h - #, x - %, B - 8, c - (, l - |, k - <, v - > など)。
    • 基本となる単語と文字置換パターンをしっかりと覚えておいてください。ベストプラクティスとして、それらをどこにも書き留めないようにしましょう。
    • さらに、パスワードを覚えるために特殊文字の代わりにスマイリーシンボルを使用することもできます。例: パスワードの最後に :) または :P を付けることができます 

    例: 

    • D0n+qu!t23
    • D0nt5mok3
    • F0ll0wRuL35

    4. パスワード再利用のリスク

    よくあるミスのひとつに、複数のアプリケーションで同じパスワードを使い回すことがあります。これは非常に危険なセキュリティ上の脅威につながります。もしひとつのアプリケーションが不注意や脆弱性によってハッキングされ、パスワードが漏洩した場合、攻撃者は同じパスワードを使って他のサービスにも不正アクセスを試みる可能性があります。

    異なるアプリケーションにはそれぞれ異なるパスワードを設定することを意識するだけで、被害の範囲を最小限に抑えることができます。仮に1つのアプリが侵害されたとしても、他のサービスへの被害を防ぐことができるのです。

    万が一、特定のアプリケーションがハッキングされた場合でも、パスワードの変更、多要素認証(MFA)の導入、機密データの保護などの対策を講じることで、迅速かつ的確に対応することが可能になります。

    5. パスワードをカスタマイズする

    異なるアプリで同じパスワードを使用しないようにするために、パスワードをカスタマイズすることができます。設定した基本フレーズに、使用するアプリの略称を追加することで、アプリごとにユニークで覚えやすいパスワードを作成できます。

    例:

    • 2023l0v3lyp@55w06d_s3p_tw
    • (:!@mStr0ng:)

    6. パスワードの有効期限の設定

    パスワードの有効期限とは、一定の期間が経過するとパスワードが失効し、ユーザーに新しいパスワードの設定を求める仕組みです。これにより、同じパスワードを長期間使い続けるリスクを回避し、アカウントのセキュリティを強化することができます。さらに、管理者は「パスワードポリシー」を通じて、パスワードの複雑さや再使用の制限など、パスワードに関する追加ルールを設定することが可能です。

    例: 

    パスワードポリシーでは、パスワードの有効期限を30日または45日に設定することが可能です。これにより、ユーザーは30日または45日ごとにパスワードを変更する必要があり、定期的な更新を通じてアカウントのセキュリティを維持できます。 

    7. プレーンテキストで保存しない 

    パスワードやパスワードの一覧をプレーンテキスト(平文)のままシステム内のファイルに保存することは非常に危険です。暗号化されていないため、通常のアクセスやハッキング、ウイルス攻撃などにより、悪意あるプログラムによって簡単に読み取られたりスキャンされたりする可能性があります。

    複数のパスワードを安全に保存したい場合は、パスワードマネージャーの利用を強く推奨します。パスワードマネージャーは、保存するすべての情報を暗号化し、平文のまま表示されることがないため、安全性が大幅に向上します。

    強力なパスワードを設定する方法

    パスワード マネージャー・ジェネレーターを使用する

    パスワードマネージャーは、パスワードを安全に管理するためのアプリケーションやサービスです。多くのアプリケーションやアカウントを持っている場合、パスワードマネージャーはすべてのパスワードを一か所で安全に管理するための最適なツールです。

    パスワードを安全に共有する

    効率的なパスワードマネージャーは、パスワードを暗号化して安全に保管するだけでなく、他のユーザーとの安全な共有機能も備えています。Zohoが提供するオンラインパスワードマネージャーで、チームでのパスワード管理をスムーズに行えるツールの一つです。

    業務上、特定のアカウントを複数人で共用するケースは少なくありません。そうした場合、誰がどのパスワードを保持・変更したかを把握するのは容易ではなく、パスワードの有効期限や更新状況の管理も煩雑になります。

    パスワードマネージャーを活用すれば、こうした共有や管理のプロセスを効率的かつセキュアに実行でき、情報漏えいのリスクを大幅に低減できます。

    多要素認証を有効にする(MFA)

    多要素認証(MFA)とは、ユーザーがアカウント、アプリケーション、またはネットワークへアクセスする際に、複数の認証要素を用いて本人確認を行うセキュリティ対策です。

    多くの場合、パスワードに加えて、以下のような追加認証が求められます:

    • 携帯電話に送信される確認コード(メッセージなど)

    • 認証アプリによって生成される時間ベースのワンタイムパスワード(TOTP)

    • 指紋や虹彩などの生体認証情報

    これらの手段を組み合わせることで、万が一パスワードが漏洩した場合でも、第三者による不正アクセスを効果的に防止できます。
    特に機密性の高い業務データを扱う環境では、多要素認証の導入は重要なセキュリティ対策の一つといえるでしょう。

    パスワードレス認証を使用する

    現代のアプリケーションは、パスワードレス認証に向かって進んでいます。ここでの多要素認証は、所有しているもの(時間ベースの認証アプリやメッセージを使用してモバイルデバイスで生成されるコード、またはセキュリティトークンで生成されるコード)と、自身であること(指紋、虹彩、声、顔認識による生体認証)を含みます。

    パスワードなしおよび多要素認証における生体認証は、単なるパスワードベースの認証よりも安全と考えられています。 

    パスワードポリシーとは

    パスワードポリシーとは、ユーザーが安全かつ強力なパスワードを作成・使用できるよう、組織がアプリケーションに対して設定するルールのことです。適切なパスワードポリシーは、以下のような基準を明確に定義します:

    • パスワードの最小文字数
    • パスワードの有効期限の設定
    • 過去に使用したパスワードの再利用の禁止
    • 辞書に載っている単語やユーザー名を含めないルール

    メールアカウントの安全性を確保するには、ユーザーが強力なパスワードを作成・維持できるようにするパスワードポリシーの導入が不可欠です。メールアカウントがハッキングされると、そのアカウント内のデータだけでなく、以下のような二次被害が生じる可能性があります:

    • 連絡先へのスパムやフィッシングメールの送信

    • ビジネス用メールアドレスの悪用による機密データへの不正アクセス

    • 関連付けられているSNSアカウントや金融サービスへの侵入による個人情報・財務情報の流出

    こうしたリスクを軽減するには、強固なパスワードポリシーを設定することが第一歩です。さらに、**二要素認証(TFA)や多要素認証(MFA)**を併用することで、セキュリティを一層強化することが可能になります。 

    以下は、組織のための良いパスワードポリシーを作成するためのガイドラインです: 

    安全なパスワードポリシーの例:

    • 最小パスワード長: 12
      • 少なくとも1つの大文字を含む
      • 1つの小文字を含む
      • 1つの数字を含む
      • 1つの特殊文字を含む
    • パスワード expiry期間: 30日
    • パスワード履歴: 直近の3つのパスワードを繰り返さないこと。 

    Zoho Mailでパスワードポリシーを強制する方法

    Zoho Mail は、主にビジネスコミュニケーションを目的とした安全なメールサービスです。メールアカウントを作成すると、Zoho Mail アドミンコンソールで組織のパスワードポリシーを作成および適用することができます。 

    Zoho Admin コンソールでパスワードポリシーを作成する手順:

    1. Zoho Mail アドミンコンソール にログインします
    2. 左側のペインでセキュリティとコンプライアンスに移動します。
    3. セキュリティをクリックし、パスワードポリシーに移動します
      パスワードポリシー

    4. パスワードポリシーセクションでは、以下の各項目に対して適切な値を指定し、セキュリティ基準を定義できます:

      • 最小パスワード長
      • 履歴に保存する最小パスワード数(過去に使用したパスワードの再利用防止)
      • 最小特殊文字数
      • 最小数字文字数
      • パスワード有効期限(日数)
    5. また、パスワードの有効期限が近づいた際にユーザーへ通知を送信し、パスワード変更を促すことも可能です。これを有効にするには、「パスワードの有効期限通知を送信」オプションにチェックを入れてください。
    6. 設定が完了したら、[更新] をクリックして変更を保存します。

    なお、設定内容を元に戻したい場合は、[リセット] をクリックして直前の保存状態に戻すか、[デフォルトにリセット] をクリックすることで、Zoho Mailの初期推奨構成に戻すことができます。

    無料登録

    Top Articles

    Recent articles