パスワードパスワードの概要

概説

通常はユーザIDと対にして用いる。あらかじめ登録されているそのユーザIDのパスワードと、操作者によって入力されたパスワードが一致していることによって、操作者がそのユーザIDの使用者本人であると認識する。

パスワードのうち、数字のみのものを特に暗証番号（あんしょうばんごう、（PIN^[1]）という。金融機関のATMや携帯電話の本人確認で利用される。

文字列の長さが数十文字以上と長いパスワードのことを特にパスフレーズと呼ぶことがあり、高いセキュリティが必要なシステムで用いられる。

多くのシステムでは、パスワードに用いることのできる文字はアルファベット（ラテン文字）26文字（大文字・小文字が区別される場合は52文字）、一部の記号に限定されているが、マルチバイト文字を用いることができるものもある。

パスワードの発見

パスワードやクレジットカードの番号を入手することで、他人になりすまして様々な利益が得られることから、パスワードを発見するということがしばしば行われてきた。

本人しか知らないことが前提になっているため、入力した内容は画面上には伏せ字で表示される。例えば「ABCD」と入力しても「●●●●」と表示され、入力した文字数しか分からないようになっている。

理論上は総当りですべての文字列を試してみれば、いつかは正しいパスワードを発見可能なことは容易に分かるが、大変な労力が必要なので実際はあまり行われない。

また、複数回間違ったパスワードを入力すると、システムがそれ以降の入力を拒否するようになっている場合もある（金融機関の現金自動預け払い機では、間違った暗証番号を3回入力すると以降はそのカードは有人窓口以外での取り扱いができなくなってしまう。ドアの電子錠では回路がクラッキングと判断して自己破壊するものもある。また、AppleのiPhoneやiPadでは間違えた回数によって、利用できない時間が変わったり、設定によっては10回間違えるとデバイスのデータが消去されることもある）。

パスワードは任意の文字列で構成されるが、完全にランダムということはほとんどなく、実際は覚えやすい文字列で構成される場合が多い。その性質を利用して、辞書に載っている単語や人名を入力することで、パスワードを発見する効率を高めるソフトウェアもある。推測されにくいパスワードにするよう求められることが多く、新規でパスワードを作る際に簡単な文字列を設定すると設定自体をコンピューターに却下されたり、サイトごとに異なるパスワードにするよう求めることもある。結果的にパスワードを忘れてしまい、前述したように間違ったパスワードを複数回入力してロックされてしまうといった問題点もある。

詳細は「辞書攻撃」を参照

ただし桁数の少ない暗証番号は、照合時の入力可能回数に制限（通常3回まで）が設定されている。

キャッシュカードや携帯電話端末の暗証番号は僅か4桁だけしかない場合が多く、0000〜9999の、最大10000回試せば、暗証番号を発見できることから、番号を忘れてしまった場合に、全部の番号を試すソフトウェアが存在する。

詳細は「総当たり攻撃」を参照

さらに、パスワードの発見には「フィッシング」と呼ばれる手法も存在する。これは、偽のウェブサイトやメールを使ってユーザーにパスワードを入力させる方法である。例えば、銀行やオンラインサービスを装ったメールを送り、リンクをクリックさせて偽のログインページに誘導する。このページにパスワードを入力すると、攻撃者にその情報が渡る仕組みである。^[2]

また、パスワードの安全性を高めるために、二要素認証/2段階認証が推奨されている。^[3]これは、パスワードに加えて、スマートフォンに送られる認証コードなど、追加の認証手段を必要とするものである。これにより、パスワードが漏洩しても、攻撃者がアカウントにアクセスするのを防ぎやすくすることができる。

パスワードを管理するツールも存在する。これらのツールは、複雑で推測されにくいパスワードを自動的に生成し、安全に保管する機能を持っている。ユーザーは、マスターパスワード一つを覚えておけば、他のすべてのパスワードを管理できるのである。Apple社のiPhoneにはこの機能がデフォルトで搭載されている。^[4]