ITサポート:DAY44|パスワード管理

🐥 カイピヨくんと学ぶ ITサポート独学
DAY44|パスワード管理
― 強い管理方法 ―
通勤中、家事をしながら、パスワード管理の正解を音声で学習
※音声と記事の内容は同じです。お好みの方法で学習してください
📖 はじめに|DAY44は「覚え方を変える日」
フィッシングや情報漏えいが起きたとき、
最終的に守りになるのは何か?
でも、多くの人がこう思っています。
- 「覚えられない」
- 「同じのでいいよね」
- 「複雑にすると逆に危ない」
DAY44では、
"安全で・現実的で・続けられる"
管理方法を学びます。
「覚える努力より、」
管理の仕組みを作るピヨ!🐥💙
第1章|結論:強いパスワード=長くてバラバラ
まず結論です。
"長くて・推測できない"
ダメな例
良い方向性
- ✅ 12文字以上(長ければ長いほど強い)
- ✅ 予測不能(ランダム文字列)
- ✅ 使い回さない(サービスごとに違う)
🎮 体験しよう:パスワード強度チェッカー
📊 パスワードの長さと解読時間の関係
長さが最重要:Hive Systems「2024 Password Table」によると、現代のコンピュータ(RTX 4090使用)でのブルートフォース攻撃における解読時間は以下の通り:①6文字(数字のみ):0.00001秒(即座)、②8文字(英数字):約1時間、③10文字(英数字+記号):約6年、④12文字(英数字+記号):約34,000年、⑤16文字(英数字+記号):約9200億年。長さが2文字増えるだけで解読難易度が指数関数的に上昇します。
よくあるパスワードランキング:NordPass「Most Common Passwords 2024」では、①123456(490万件)、②password(150万件)、③123456789(97万件)、④12345678(80万件)、⑤12345(68万件)。これらは全て1秒未満で破られます。辞書攻撃(よくある単語・パターンを優先的に試す)では、数秒〜数分で破られる可能性が高いです。
記号よりも長さ:NIST(米国国立標準技術研究所)のガイドラインでは、「複雑さ(記号・大小文字混在)よりも長さを優先すべき」と明記されています。例:「P@ssw0rd!」(10文字、複雑)は約6年で破られますが、「correcthorsebatterystaple」(28文字、単純)は事実上破られません(10^15年以上)。
第2章|なぜ"使い回し"が一番危険なのか?
仕組み
ITサポートあるある
🎮 体験しよう:使い回しリスクシミュレーター
📊 パスワード使い回しとリスト攻撃の実態
パスワード使い回しの実態:Google「2024 Online Security Survey」では、①複数サービスで同じパスワード使用:73%、②全サービスで同じパスワード使用:24%、③サービスごとに異なるパスワード使用:わずか3%。97%の人が使い回しており、これが最大のセキュリティリスクです。
パスワードリスト攻撃(Credential Stuffing):漏洩したID・パスワードのリストを使って他のサービスへの不正ログインを試みる攻撃。Akamai「2024 State of the Internet」では、年間約1,930億回のリスト攻撃が観測され(前年比+35%)、成功率は約0.1%〜2%。つまり、100万件の漏洩で1,000〜20,000件の不正ログインが成功します。
漏洩データベース:「Have I Been Pwned」には約130億件の漏洩アカウント情報が登録されています(2024年12月時点)。攻撃者はこれらのデータベースを使って自動的に複数サービスへのログインを試みます。使い回しをしていると、1つの漏洩で全サービスが危険になります。
第3章〜第4章|理想と現実
理想のパスワード条件(4つのポイント)
- 1️⃣ 長い(12文字以上推奨)
- 2️⃣ ランダム(予測不能な文字列)
- 3️⃣ サービスごとに違う(使い回さない)
- 4️⃣ 他人に見せない(物理的・デジタル的に保護)
覚えようとするから失敗する
多くの人の対策
第5章|正解は「覚えない」こと
現代の正解
何をしてくれる?
📊 パスワード管理ツールの効果
セキュリティ向上効果:LastPass「2024 Psychology of Passwords Report」によると、パスワード管理ツール使用者と非使用者の比較では、①使い回し率:ツール使用者12% vs 非使用者81%、②平均パスワード長:ツール使用者16文字 vs 非使用者8文字、③パスワード侵害経験:ツール使用者8% vs 非使用者34%。管理ツールの使用でセキュリティリスクが大幅に低減します。
主要な管理ツール:①1Password(有料、法人向け人気)、②Bitwarden(オープンソース、無料版あり)、③LastPass(無料版あり)、④Dashlane(有料)、⑤Google Password Manager(無料、Chrome内蔵)。全て暗号化(AES-256等)でパスワードを保存し、マスターパスワードでのみアクセス可能です。
安全性:「管理ツール自体がハッキングされたら?」という懸念がありますが、①ゼロ知識アーキテクチャ(運営会社もパスワードを見れない)、②エンドツーエンド暗号化、③多要素認証対応、により、適切に使用すれば紙やExcelよりはるかに安全です。実際、LastPass等の大手ツールで過去に漏洩事故はありましたが、マスターパスワードが強力なら暗号化されたデータは解読不可能でした。
第6章|ITサポートが推奨する管理方法
🎮 体験しよう:マスターパスワード作成
基本戦略
- ✅ 長いランダム文字列(管理ツールで自動生成)
- ✅ 管理ツールで保存(覚えるのは1つだけ)
- ✅ マスターパスワードのみ覚える(唯一覚えるパスワード)
マスターパスワード作成方法
方法① ランダム単語組み合わせ(推奨)
- ✅ 長い(28文字)
- ✅ 覚えやすい(4つの単語)
- ✅ 推測困難(単語の組み合わせは無限)
方法② 文章+記号
- ✅ イメージしやすい(青い猫が真夜中に歩く)
- ✅ 大小文字混在
- ✅ 記号追加で強度UP
方法③ 頭文字+記号
- ✅ 自分だけの文から作成
- ✅ 覚えやすい
- ⚠️ 文章が推測されると危険
💡 重要ポイント
- ✅ マスターパスワードは管理ツール自体のパスワード(唯一覚えるもの)
- ✅ 他のパスワードは全て管理ツールで生成・保存(覚える必要なし)
- ✅ マスターパスワードは絶対に使い回さない
- ✅ 紙に書いて金庫等に保管するのも一つの手段
第7章|紙に書くのはアリ?ナシ?
結論
OK条件
- ✅ 物理的に安全(金庫、施錠できる場所)
- ✅ 外部持ち出しなし
- ✅ PCに貼らない(第三者に見られる)
NG例
- ❌ モニター横に付箋
- ❌ デスクトップに保存
- ❌ 財布に入れて持ち歩く
第8章|よくある誤解
誤解① 記号多ければ強い
✅ correcthorsebatterystaple(28文字)
誤解② 定期変更が最強
誤解③ 自分は狙われない
📊 パスワード管理のよくある誤解と真実
定期変更の誤解:NIST(米国国立標準技術研究所)は2017年に「定期的なパスワード変更を強制すべきではない」とガイドラインを改訂しました。理由:①頻繁な変更は使い回しや簡単なパスワード使用を招く、②パターン化しやすい(password1→password2)、③漏洩していない限り変更の必要なし。Microsoft、Google等も定期変更を推奨していません。変更すべきは「漏洩が疑われる時」のみです。
複雑さの誤解:XKCD(Web漫画)の有名な図解で示された通り、「P@$$w0rd」(8文字、複雑)よりも「correct horse battery staple」(28文字、単純)の方が遥かに強力です。人間が覚えやすい長いパスフレーズの方が、短く複雑なパスワードより安全です。
紙への記載:セキュリティ専門家Bruce Schneier氏は「パスワードを紙に書いて財布に入れておくのは、デジタル上に保存するより安全な場合もある」と発言しています。理由:①物理的な盗難はデジタル攻撃より稀、②財布を盗まれたら気づく、③紙は遠隔攻撃されない。ただし、PCの横に付箋は論外です。
第9章〜第11章|実務とまとめ
ITサポートとしての説明テンプレ
利用者への伝え方
無理に覚えなくていいです」
「管理ツールを使いましょう」
パスワード+αが重要
DAY44で覚えればOKなこと
- ✅ 長くてランダム
- ✅ 使い回さない
- ✅ 覚えない
- ✅ 管理ツール活用
- ✅ 人間の記憶は信用しない
📝 確認クイズ(DAY44)
パスワード管理の理解度を確認しよう
「強さは"覚える力"じゃないピヨ。」
"仕組み化"ピヨ!🐥💙
📊 今日のゴール
- ✅ 強いパスワードの条件(長さ最重要)を理解する
- ✅ 使い回しの危険性を知る
- ✅ 「覚えない」ことが正解だと理解する
- ✅ パスワード管理ツールの活用方法を学ぶ
- ✅ よくある誤解(定期変更、記号、狙われない)を正す
📝 DAY44まとめ
- パスワード管理の重要性:フィッシングや情報漏洩が起きた時、最終的に守りになるのはパスワード管理の質
- 強いパスワード=長くて推測できない:ダメな例:123456(最弱)、password(文字通り)、誕生日(推測容易)、会社名+年号(パターン既知)→一瞬で破られる
- 長さと解読時間:①6文字(数字):即座、②8文字(英数):1時間、③10文字(英数+記号):6年、④12文字:34,000年、⑤16文字:9200億年。長さが2文字増えるだけで指数関数的に強化
- よくあるパスワード:①123456(490万件)、②password(150万件)、③123456789(97万件)。全て1秒未満で破られる
- 記号より長さ:NIST推奨「複雑さより長さ優先」。P@ssw0rd!(10文字複雑)は6年で破られるが、correcthorsebatterystaple(28文字単純)は事実上破られない(10^15年以上)
- 使い回しが最大リスク:仕組み:①1つ漏れる、②他サービスで試される(パスワードリスト攻撃)、③連鎖的侵入。芋づる式被害
- 使い回し実態:①複数サービスで同じパスワード:73%、②全サービス同じ:24%、③サービスごと違う:わずか3%。97%が使い回し
- パスワードリスト攻撃:年間1,930億回(+35%)、成功率0.1-2%。100万件漏洩で1,000-20,000件不正ログイン成功。「Have I Been Pwned」に130億件の漏洩データ
- 理想の4条件:①長い(12文字以上)、②ランダム、③サービスごと違う、④他人に見せない。全部満たすのは人力では困難
- 覚えようとするから失敗:多くの人の対策:①少し変える(Amazon123/Rakuten123)、②最後に数字(password1/2/3)、③共通ルール(サービス名+誕生日)。全て攻撃者が知っているパターン
- 正解は「覚えない」:パスワード管理ツール使用。①自動生成(長くてランダム)、②自動保存(暗号化)、③自動入力。人間の限界を補う
- 管理ツールの効果:使用者vs非使用者:①使い回し率12% vs 81%、②平均長16文字 vs 8文字、③侵害経験8% vs 34%。セキュリティリスク大幅低減
- 主要ツール:①1Password(有料、法人人気)、②Bitwarden(オープンソース、無料あり)、③LastPass(無料あり)、④Dashlane(有料)、⑤Google Password Manager(無料、Chrome内蔵)
- 安全性:①ゼロ知識アーキテクチャ(運営も見れない)、②エンドツーエンド暗号化、③多要素認証対応。適切使用なら紙・Excelよりはるかに安全
- マスターパスワード作成方法:①ランダム単語組み合わせ(correct horse battery staple、28文字)推奨、②文章+記号(BlueCatWalksAtMidnight!)、③頭文字+記号(Iwt2gts@8am!)
- 基本戦略:①長いランダム文字列(ツールで自動生成)、②ツールで保存(覚えるのは1つだけ)、③マスターパスワードのみ覚える
- 紙に書く:条件付きでアリ。OK条件:①物理的安全(金庫等)、②外部持出なし、③PCに貼らない。NG:モニター横付箋、デスクトップ保存、財布に入れて持ち歩く
- 誤解①記号多ければ強い:❌。P@$$w0rd(8文字)より correcthorsebatterystaple(28文字)が強い。長さが最重要
- 誤解②定期変更が最強:❌。NIST 2017年改訂「定期変更強制すべきでない」。理由:使い回し増加、パターン化、漏洩してなければ不要。変更は「漏洩疑い時」のみ
- 誤解③自分は狙われない:❌。攻撃は自動・無差別・24時間365日。自動攻撃は無差別
- 定期変更の誤解:Microsoft、Google等も推奨せず。頻繁変更は①使い回し招く、②パターン化(password1→2)、③漏洩してない限り不要
- 紙への記載:Bruce Schneier氏「紙に書いて財布に入れる方が安全な場合も」。理由:①物理的盗難は稀、②財布盗難は気づく、③遠隔攻撃されない。ただしPC横付箋は論外
- ITサポートの伝え方:「覚えられない仕組みを無理に覚えなくていいです」「管理ツールを使いましょう」。責めない説明
- パスワード+α:パスワードだけでは破られる可能性→二要素認証(DAY45)へ
💬 次回予告(DAY45)
👉 DAY45:「二要素認証 ― なぜ安全?」
パスワードだけでは不十分。二要素認証を学ぼう!


