ITサポート:DAY44|パスワード管理

ITサポート独学チャレンジ
Lv.1
次のレベルまで 100 XP
0 / 100
🔐
強度理解
🚫
使い回し理解
🛠️
ツール理解
💯
総合テスト満点
🏆
DAY44完全制覇
ITサポート独学 DAY44

🐥 カイピヨくんと学ぶ ITサポート独学

DAY44|パスワード管理

― 強い管理方法 ―

🎧
この記事は音声でも学べます

通勤中、家事をしながら、パスワード管理の正解を音声で学習

0:00
0:00
再生速度:

※音声と記事の内容は同じです。お好みの方法で学習してください


📖 はじめに|DAY44は「覚え方を変える日」

フィッシングや情報漏えいが起きたとき、
最終的に守りになるのは何か?

パスワード管理の質

でも、多くの人がこう思っています。

  • 「覚えられない」
  • 「同じのでいいよね」
  • 「複雑にすると逆に危ない」

DAY44では、
"安全で・現実的で・続けられる"
管理方法を学びます。

🐥 カイピヨくんの一言(冒頭)
カイピヨくん

「覚える努力より、」
管理の仕組みを作るピヨ!🐥💙

第1章|結論:強いパスワード=長くてバラバラ

まず結論です。

強いパスワードは
"長くて・推測できない"

ダメな例

❌ 123456
世界で最も使われる最弱パスワード
❌ password
文字通り最初に試される
❌ 誕生日
SNSから簡単に推測される
❌ 会社名+年号
パターンが読まれている
👉 一瞬で破られる

良い方向性

  • ✅ 12文字以上(長ければ長いほど強い)
  • ✅ 予測不能(ランダム文字列)
  • ✅ 使い回さない(サービスごとに違う)

🎮 体験しよう:パスワード強度チェッカー

🔐 長さと強度の関係を体験
下のパスワード例をクリックして強度を確認
パスワード例をクリック:
現在のパスワード:
(上から選択してください)
文字数: 0文字
強度:
解読にかかる時間
-

📊 パスワードの長さと解読時間の関係

長さが最重要:Hive Systems「2024 Password Table」によると、現代のコンピュータ(RTX 4090使用)でのブルートフォース攻撃における解読時間は以下の通り:①6文字(数字のみ):0.00001秒(即座)、②8文字(英数字):約1時間、③10文字(英数字+記号):約6年、④12文字(英数字+記号):約34,000年、⑤16文字(英数字+記号):約9200億年。長さが2文字増えるだけで解読難易度が指数関数的に上昇します。

よくあるパスワードランキング:NordPass「Most Common Passwords 2024」では、①123456(490万件)、②password(150万件)、③123456789(97万件)、④12345678(80万件)、⑤12345(68万件)。これらは全て1秒未満で破られます。辞書攻撃(よくある単語・パターンを優先的に試す)では、数秒〜数分で破られる可能性が高いです。

記号よりも長さ:NIST(米国国立標準技術研究所)のガイドラインでは、「複雑さ(記号・大小文字混在)よりも長さを優先すべき」と明記されています。例:「P@ssw0rd!」(10文字、複雑)は約6年で破られますが、「correcthorsebatterystaple」(28文字、単純)は事実上破られません(10^15年以上)。

第2章|なぜ"使い回し"が一番危険なのか?

⚠️ 実はこれが最大リスクです。

仕組み

1️⃣ どこか1つが漏れる
情報漏洩は毎日発生している
2️⃣ 他サービスで試される
パスワードリスト攻撃(自動)
3️⃣ 連鎖的に侵入
全サービスが危険に
👉 芋づる式被害

ITサポートあるある

「同じパスワードでした…」

🎮 体験しよう:使い回しリスクシミュレーター

⚠️ 1つ漏れると全部危険に
「漏洩を再現」ボタンをクリック
📧
メール
✓ 安全
🏦
銀行
✓ 安全
📱
SNS
✓ 安全
🛒
ECサイト
✓ 安全
☁️
クラウド
✓ 安全
💼
仕事
✓ 安全

📊 パスワード使い回しとリスト攻撃の実態

パスワード使い回しの実態:Google「2024 Online Security Survey」では、①複数サービスで同じパスワード使用:73%、②全サービスで同じパスワード使用:24%、③サービスごとに異なるパスワード使用:わずか3%。97%の人が使い回しており、これが最大のセキュリティリスクです。

パスワードリスト攻撃(Credential Stuffing):漏洩したID・パスワードのリストを使って他のサービスへの不正ログインを試みる攻撃。Akamai「2024 State of the Internet」では、年間約1,930億回のリスト攻撃が観測され(前年比+35%)、成功率は約0.1%〜2%。つまり、100万件の漏洩で1,000〜20,000件の不正ログインが成功します。

漏洩データベース:「Have I Been Pwned」には約130億件の漏洩アカウント情報が登録されています(2024年12月時点)。攻撃者はこれらのデータベースを使って自動的に複数サービスへのログインを試みます。使い回しをしていると、1つの漏洩で全サービスが危険になります。

第3章〜第4章|理想と現実

理想のパスワード条件(4つのポイント)

  • 1️⃣ 長い(12文字以上推奨)
  • 2️⃣ ランダム(予測不能な文字列)
  • 3️⃣ サービスごとに違う(使い回さない)
  • 4️⃣ 他人に見せない(物理的・デジタル的に保護)
👉 全部満たすのは人力では難しい

覚えようとするから失敗する

💡 ここ、重要です。

多くの人の対策

❌ 少し変える
例:Amazon123、Rakuten123、Yahoo123
→ パターンが読まれている
❌ 最後に数字足す
例:password1、password2、password3
→ 最初に試される
❌ 共通ルール作る
例:サービス名+誕生日
→ 1つバレると全部バレる
👉 攻撃者も知っている

第5章|正解は「覚えない」こと

現代の正解

パスワード管理ツールを使う

何をしてくれる?

✅ 自動生成
長くてランダムなパスワードを自動作成
✅ 自動保存
暗号化して安全に保存
✅ 自動入力
ログイン時に自動で入力
👉 人間の限界を補う

📊 パスワード管理ツールの効果

セキュリティ向上効果:LastPass「2024 Psychology of Passwords Report」によると、パスワード管理ツール使用者と非使用者の比較では、①使い回し率:ツール使用者12% vs 非使用者81%、②平均パスワード長:ツール使用者16文字 vs 非使用者8文字、③パスワード侵害経験:ツール使用者8% vs 非使用者34%。管理ツールの使用でセキュリティリスクが大幅に低減します。

主要な管理ツール:①1Password(有料、法人向け人気)、②Bitwarden(オープンソース、無料版あり)、③LastPass(無料版あり)、④Dashlane(有料)、⑤Google Password Manager(無料、Chrome内蔵)。全て暗号化(AES-256等)でパスワードを保存し、マスターパスワードでのみアクセス可能です。

安全性:「管理ツール自体がハッキングされたら?」という懸念がありますが、①ゼロ知識アーキテクチャ(運営会社もパスワードを見れない)、②エンドツーエンド暗号化、③多要素認証対応、により、適切に使用すれば紙やExcelよりはるかに安全です。実際、LastPass等の大手ツールで過去に漏洩事故はありましたが、マスターパスワードが強力なら暗号化されたデータは解読不可能でした。

第6章|ITサポートが推奨する管理方法

🎮 体験しよう:マスターパスワード作成

🔑 マスターパスワードのコツ
文章形式・推測不能・長く

基本戦略

  • ✅ 長いランダム文字列(管理ツールで自動生成)
  • ✅ 管理ツールで保存(覚えるのは1つだけ)
  • ✅ マスターパスワードのみ覚える(唯一覚えるパスワード)

マスターパスワード作成方法

方法① ランダム単語組み合わせ(推奨)

例:correct horse battery staple
  • ✅ 長い(28文字)
  • ✅ 覚えやすい(4つの単語)
  • ✅ 推測困難(単語の組み合わせは無限)

方法② 文章+記号

例:BlueCatWalksAtMidnight!
  • ✅ イメージしやすい(青い猫が真夜中に歩く)
  • ✅ 大小文字混在
  • ✅ 記号追加で強度UP

方法③ 頭文字+記号

例:Iwt2gts@8am!
元の文:I walk to gym every Saturday at 8am!
  • ✅ 自分だけの文から作成
  • ✅ 覚えやすい
  • ⚠️ 文章が推測されると危険

💡 重要ポイント

  • ✅ マスターパスワードは管理ツール自体のパスワード(唯一覚えるもの)
  • ✅ 他のパスワードは全て管理ツールで生成・保存(覚える必要なし)
  • ✅ マスターパスワードは絶対に使い回さない
  • ✅ 紙に書いて金庫等に保管するのも一つの手段

第7章|紙に書くのはアリ?ナシ?

結論

条件付きでアリ

OK条件

  • ✅ 物理的に安全(金庫、施錠できる場所)
  • ✅ 外部持ち出しなし
  • ✅ PCに貼らない(第三者に見られる)

NG例

  • ❌ モニター横に付箋
  • ❌ デスクトップに保存
  • ❌ 財布に入れて持ち歩く
👉 本末転倒

第8章|よくある誤解

誤解① 記号多ければ強い

❌ P@$$w0rd(8文字)
✅ correcthorsebatterystaple(28文字)
長さが最重要

誤解② 定期変更が最強

定期変更→覚えられない→使い回し増加
使い回しの方が危険

誤解③ 自分は狙われない

攻撃は自動・無差別・24時間365日
自動攻撃は無差別

📊 パスワード管理のよくある誤解と真実

定期変更の誤解:NIST(米国国立標準技術研究所)は2017年に「定期的なパスワード変更を強制すべきではない」とガイドラインを改訂しました。理由:①頻繁な変更は使い回しや簡単なパスワード使用を招く、②パターン化しやすい(password1→password2)、③漏洩していない限り変更の必要なし。Microsoft、Google等も定期変更を推奨していません。変更すべきは「漏洩が疑われる時」のみです。

複雑さの誤解:XKCD(Web漫画)の有名な図解で示された通り、「P@$$w0rd」(8文字、複雑)よりも「correct horse battery staple」(28文字、単純)の方が遥かに強力です。人間が覚えやすい長いパスフレーズの方が、短く複雑なパスワードより安全です。

紙への記載:セキュリティ専門家Bruce Schneier氏は「パスワードを紙に書いて財布に入れておくのは、デジタル上に保存するより安全な場合もある」と発言しています。理由:①物理的な盗難はデジタル攻撃より稀、②財布を盗まれたら気づく、③紙は遠隔攻撃されない。ただし、PCの横に付箋は論外です。

第9章〜第11章|実務とまとめ

ITサポートとしての説明テンプレ

利用者への伝え方

「覚えられない仕組みを
無理に覚えなくていいです」

「管理ツールを使いましょう」
👉 責めない説明

パスワード+αが重要

ここで次回につながります。
それでも破られる可能性
→ 二要素認証(DAY45)

DAY44で覚えればOKなこと

今日はこれだけで十分です。
  • ✅ 長くてランダム
  • ✅ 使い回さない
  • ✅ 覚えない
  • ✅ 管理ツール活用
  • ✅ 人間の記憶は信用しない

📝 確認クイズ(DAY44)

パスワード管理の理解度を確認しよう

Q1
一番危険な行為は?
Q2
強いパスワードの最重要要素は?
Q3
覚えきれない場合の正解は?
🐥 カイピヨくんの最後の一言(DAY44)
カイピヨくん

「強さは"覚える力"じゃないピヨ。」
"仕組み化"ピヨ!🐥💙

📊 今日のゴール

  • ✅ 強いパスワードの条件(長さ最重要)を理解する
  • ✅ 使い回しの危険性を知る
  • ✅ 「覚えない」ことが正解だと理解する
  • ✅ パスワード管理ツールの活用方法を学ぶ
  • ✅ よくある誤解(定期変更、記号、狙われない)を正す

📝 DAY44まとめ

  • パスワード管理の重要性:フィッシングや情報漏洩が起きた時、最終的に守りになるのはパスワード管理の質
  • 強いパスワード=長くて推測できない:ダメな例:123456(最弱)、password(文字通り)、誕生日(推測容易)、会社名+年号(パターン既知)→一瞬で破られる
  • 長さと解読時間:①6文字(数字):即座、②8文字(英数):1時間、③10文字(英数+記号):6年、④12文字:34,000年、⑤16文字:9200億年。長さが2文字増えるだけで指数関数的に強化
  • よくあるパスワード:①123456(490万件)、②password(150万件)、③123456789(97万件)。全て1秒未満で破られる
  • 記号より長さ:NIST推奨「複雑さより長さ優先」。P@ssw0rd!(10文字複雑)は6年で破られるが、correcthorsebatterystaple(28文字単純)は事実上破られない(10^15年以上)
  • 使い回しが最大リスク:仕組み:①1つ漏れる、②他サービスで試される(パスワードリスト攻撃)、③連鎖的侵入。芋づる式被害
  • 使い回し実態:①複数サービスで同じパスワード:73%、②全サービス同じ:24%、③サービスごと違う:わずか3%。97%が使い回し
  • パスワードリスト攻撃:年間1,930億回(+35%)、成功率0.1-2%。100万件漏洩で1,000-20,000件不正ログイン成功。「Have I Been Pwned」に130億件の漏洩データ
  • 理想の4条件:①長い(12文字以上)、②ランダム、③サービスごと違う、④他人に見せない。全部満たすのは人力では困難
  • 覚えようとするから失敗:多くの人の対策:①少し変える(Amazon123/Rakuten123)、②最後に数字(password1/2/3)、③共通ルール(サービス名+誕生日)。全て攻撃者が知っているパターン
  • 正解は「覚えない」:パスワード管理ツール使用。①自動生成(長くてランダム)、②自動保存(暗号化)、③自動入力。人間の限界を補う
  • 管理ツールの効果:使用者vs非使用者:①使い回し率12% vs 81%、②平均長16文字 vs 8文字、③侵害経験8% vs 34%。セキュリティリスク大幅低減
  • 主要ツール:①1Password(有料、法人人気)、②Bitwarden(オープンソース、無料あり)、③LastPass(無料あり)、④Dashlane(有料)、⑤Google Password Manager(無料、Chrome内蔵)
  • 安全性:①ゼロ知識アーキテクチャ(運営も見れない)、②エンドツーエンド暗号化、③多要素認証対応。適切使用なら紙・Excelよりはるかに安全
  • マスターパスワード作成方法:①ランダム単語組み合わせ(correct horse battery staple、28文字)推奨、②文章+記号(BlueCatWalksAtMidnight!)、③頭文字+記号(Iwt2gts@8am!)
  • 基本戦略:①長いランダム文字列(ツールで自動生成)、②ツールで保存(覚えるのは1つだけ)、③マスターパスワードのみ覚える
  • 紙に書く:条件付きでアリ。OK条件:①物理的安全(金庫等)、②外部持出なし、③PCに貼らない。NG:モニター横付箋、デスクトップ保存、財布に入れて持ち歩く
  • 誤解①記号多ければ強い:❌。P@$$w0rd(8文字)より correcthorsebatterystaple(28文字)が強い。長さが最重要
  • 誤解②定期変更が最強:❌。NIST 2017年改訂「定期変更強制すべきでない」。理由:使い回し増加、パターン化、漏洩してなければ不要。変更は「漏洩疑い時」のみ
  • 誤解③自分は狙われない:❌。攻撃は自動・無差別・24時間365日。自動攻撃は無差別
  • 定期変更の誤解:Microsoft、Google等も推奨せず。頻繁変更は①使い回し招く、②パターン化(password1→2)、③漏洩してない限り不要
  • 紙への記載:Bruce Schneier氏「紙に書いて財布に入れる方が安全な場合も」。理由:①物理的盗難は稀、②財布盗難は気づく、③遠隔攻撃されない。ただしPC横付箋は論外
  • ITサポートの伝え方:「覚えられない仕組みを無理に覚えなくていいです」「管理ツールを使いましょう」。責めない説明
  • パスワード+α:パスワードだけでは破られる可能性→二要素認証(DAY45)へ

💬 次回予告(DAY45)

👉 DAY45:「二要素認証 ― なぜ安全?」
パスワードだけでは不十分。二要素認証を学ぼう!

\ 最新情報をチェック /