10分でパスワードを安全にする

パスワードはデジタルライフの鍵です — メール、銀行、SNS、クラウドストレージ。しかし、ほとんどの人は同じ数種類のパスワードをどこでも使い回し、それらが既に盗まれていないかどうかも確認していません。現実は深刻です：何十億もの認証情報が漏洩データベースに流通しており、攻撃者はそれらを使って毎日自動攻撃を行っています。

このチュートリアルでは、ブラウザ内で完結する無料ツールを使って、4つのステップで完全なパスワードセキュリティ監査を行います。アカウント不要、データ保存なし。10分で自分の状況を正確に把握し、強力な代替パスワードを準備できます。

パスワード漏洩の数字

• 世界中で140億以上のパスワードが既知のデータ漏洩で流出しています
• ハッキング関連の侵害の**80%**は弱いパスワードまたは使い回しパスワードに関連しています
• **65%**の人が複数のサイトで同じパスワードを使い回しています
• 平均的な人は100以上のオンラインアカウントを持っていますが、使用するユニークなパスワードは10個未満です
• 漏洩したパスワードは、漏洩が公になってから数分以内に悪用される可能性があります

ステップバイステップガイド

データ漏洩とは？

データ漏洩は、攻撃者が企業のデータベースに不正アクセスし、ユーザー情報（メールアドレス、パスワード、個人情報）を盗み出した場合に発生します。何十億ものユーザーを持つソーシャルネットワークから小規模なオンラインショップまで、あらゆる規模の企業で大規模な漏洩が発生しています。あなたのメールが漏洩に含まれるということは、登録していたサービスが侵害され、あなたの認証情報が流出したことを意味します。

これが重要な理由：漏洩が何年前に起きたものであっても、攻撃者はこれらのデータベースを巨大なコレクションにまとめます。自動化ツールを使って、漏洩したメールとパスワードの組み合わせを数百の他のウェブサイトで試行します。そのパスワードをどこかで使い回していれば、それらのアカウントも脆弱になります。

k-匿名性によるパスワードのプライバシー保護

Webツールにパスワードを入力することに躊躇するかもしれません — それは健全な感覚です。このツールはk-匿名性というプライバシー技術を使用し、完全なパスワードが決して公開されないようにしています：

1. パスワードがブラウザ内でSHA-1を使って直接ハッシュ化（固定文字列に変換）されます。
2. そのハッシュの最初の5文字のみが漏洩データベースに送信されます。
3. データベースは同じ5文字で始まるすべての漏洩ハッシュ（通常500〜600件）を返します。
4. ブラウザがローカルで完全なハッシュと返されたリストを比較します。結果がデバイスの外に出ることはありません。

サーバーはあなたのパスワードも、完全なハッシュも見ることがなく、どのエントリをチェックしていたかを特定することもできません。パスワードはプロセス全体を通じてプライベートに保たれます。

エントロピーとクラック時間の理解

パスワードの強度はエントロピー（パスワードのランダム性のビット数）で測定されます。エントロピーが高いほど、パスワードの解読は困難です。知っておくべきことは以下の通りです：

• 40ビット未満：非常に弱い。数秒で解読可能。
• 40〜60ビット：弱い。標的型攻撃に脆弱。
• 60〜80ビット：中程度。ある程度の保護はあるが理想的ではない。
• 80〜100ビット：強い。ほとんどの攻撃手法に耐性がある。
• 100ビット以上：非常に強い。現在の技術では実質的に解読不可能。

分析ツールは推定クラック時間も表示します — 最新のハードウェアを使った攻撃者がブルートフォースでパスワードを推測するのにかかる時間です。

「MyDog2024!」が思ったより弱い理由

多くの人は、一般的な単語に大文字、数字、記号を追加すれば強いパスワードになると信じています。そうではありません。攻撃者はこれらのパターンを熟知しています：

• 先頭の大文字：すべてのクラッキングツールが最初に試すパターンです。
• 末尾の数字：年号、特に今年の年号はすべての攻撃辞書に含まれています。
• 末尾の1つの記号：「!」と「@」が最もよく付加される文字です。
• 辞書の単語：「Dog」「Love」「Password」— すべてのワードリストに含まれています。

「MyDog2024!」のようなパスワードは、あらゆる予測可能なパターンに従っています。10文字で混合タイプを含んでいるにもかかわらず、パターンが非常に一般的であるため、長さが示唆するよりもはるかに低い実効エントロピーしかありません。分析ツールはどれだけ早く解読できるか正確に示してくれます。

強力なパスワード生成のヒント

• 長さが最重要：少なくとも16文字以上を使用しましょう。文字を1つ追加するごとに、解読の難易度が指数関数的に増加します。20文字以上が理想的です。
• すべての文字タイプを使用：大文字、小文字、数字、記号を有効にします。文字あたりのエントロピーが最大化されます。
• アカウントごとに1つ生成：生成したパスワードを使い回さないでください。各アカウントに固有のパスワードを設定します。
• 出力を変更しない：生成されたパスワードを「個人的に」変更したくなる衝動を抑えてください。ランダム性が低下するだけです。
• コピーして保存、暗記しない：これらのパスワードはパスワードマネージャーに保存するために設計されており、暗記するためのものではありません。直接コピーしてください。

パスワードマネージャーを使うべき理由

アカウントに対して強力でユニークなパスワードを生成しました。しかし実用的な問題があります：「j7$Kq9!mX2vL#nR8wP4」をすべてのアカウントに対して暗記することはできません。暗記する必要はないのです。ここでパスワードマネージャーが不可欠になります。

パスワードマネージャーとは？

パスワードマネージャーは、すべてのパスワードを暗号化されたボールトに保存するセキュアなアプリケーションです。ボールトのロック解除には1つのマスターパスワードだけを使います — これが覚える必要のある唯一のパスワードです。ウェブサイトにログインすると、パスワードマネージャーが正しいユニークなパスワードを自動的に入力します。

実際の使い方

1. 暗記する強力なマスターパスワードを1つ作成します（長いパスフレーズ — ランダムな4〜5単語が理想的）。
2. 他のすべてのパスワードをマネージャーに保存します。
3. ウェブサイトを訪問すると、マネージャーがそのサイト固有のパスワードを自動入力します。
4. あるサービスが漏洩しても、侵害されるのはそのパスワード1つだけ。他のアカウントは安全なままです。

主なメリット

• 覚えるパスワードは1つだけ：マスターパスワードだけを暗記すればよい。
• すべてにユニークなパスワード：すべてのアカウントに固有のランダムパスワードが設定され、使い回しの問題が完全に解消されます。
• より強力なパスワード：覚える必要がないので、好きなだけ長く複雑にできます。
• 自動入力：入力やコピー＆ペーストの手間がなくなります。マネージャーが認証情報を自動で入力します。

無料で始める

いくつかの信頼できるパスワードマネージャーが、個人利用に十分な無料プランを提供しています。ブラウザ拡張機能やモバイルアプリとして利用できます。「無料 パスワードマネージャー」で検索し、高評価でオープンソースコード、確固たるセキュリティ実績を持つものを選んでください。

ステップ4で生成したパスワードは、パスワードマネージャーに保存するために設計されています。アカウントを更新する際に、各パスワードをマネージャーに直接コピーしてください。今後は、マネージャーまたはパスワード生成ツールで新しいパスワードを生成し、すぐに保存するようにしましょう。

10分アクションプラン

1. 1〜2分目：パスワード漏洩チェッカー（メールタブ）で主要なメールアドレスを確認する。
2. 3〜5分目：パスワード漏洩チェッカー（パスワードタブ）でよく使う3〜5個のパスワードを確認する。
3. 5〜7分目：パスワード生成（分析タブ）でそれらのパスワードの実際の強度を分析する。
4. 7〜10分目：パスワード生成（生成タブ）で強力な代替パスワードを生成し、最も重要なアカウントを更新する。

この10分の後、今後数日かけて残りのアカウントを更新し続けましょう。メール、銀行、支払い情報が登録されているアカウントを優先してください。

次のステップ

• 漏洩検出についてより深く学ぶには、パスワード漏洩のチェックチュートリアルをお読みください
• 高度なヒントについては、安全なパスワードの生成をご覧ください
• 3〜6ヶ月ごとにパスワードを監査するリマインダーを設定しましょう