1 パスワードのポリシー、古いままになっていませんか?
ウェブサービスやアプリのログイン認証で使うパスワード。かつて決めたポリシーが、ずっと見直されることもなく、今でも
- 文字数は8文字
- 英大文字・英小文字・数字を組み合わせなければならない
- 90日ごとにパスワードを変更しなければならない
などとなっていませんか?
実は、こうしたポリシーは、もはや時代遅れ。セキュリティ対策とならないばかりか、かえってリスクを高める結果になっているかもしれません。なぜなら、人間の記憶力には限界があり、複雑なパスワードをいくつも覚えておくことは実質不可能だからです。
そして実際に問題となっているのが、
- パスワードをメモした付箋をデスクに貼り付けておく
- 同じパスワードを、複数のサービスで使い回す
といった横着な行為です。
パスワードは、自分しか知らない秘密の合言葉のようなもの。誰でも見えるところに貼り付けてあったら意味がありません。また、「使い回し」をすると、万が一、パスワードが破られたとき、他のウェブサービスやアプリにも不正アクセスされて、芋づる式にアカウントを乗っ取られる危険があります。
この記事では、安全なパスワード管理のために注意しておきたいポイントを整理した上で、すぐに破られてしまう危険なパスワードの例、パスワードが漏えいしていないかチェックできるサービスを紹介します。
2 安全なパスワード管理のために注意しておきたいポイント
1)米国立標準技術研究所(NIST)のガイドライン
米国立標準技術研究所(NIST)が2025年8月に公開した「デジタル アイデンティティ ガイドライン(NIST SP 800-63 Revision 4 Final)」では、
- 単一要素認証として使用されるパスワードは最低15文字、多要素認証(MFA:MultiFactor Authentication)と併用する場合は最低8文字
- 数字、大文字、記号などの異なる文字タイプを組み合わせることを強制するようなパスワードの構成ルールは禁止
- 定期的なパスワード変更(リセット含む)は不要(漏洩した場合のみ変更すればよい)
など、これまで推奨されてきたものとは内容が相当変わっています。また、パスワードだけでは十分に防御できないケースが増えていることから、多要素認証やフィッシング耐性のある認証方式の重要性がより強調されています。原文(英語)になりますが、興味のある方は、次のウェブサイトをご確認ください。
■NIST SP 800-63B Appendix A.Strength of Passwords■
https://pages.nist.gov/800-63-4/sp800-63b.html#appA
2)内閣官房 国家サイバー統括室「インターネットの安全・安心ハンドブック」
内閣官房 国家サイバー統括室が2025年3月11日に公開した「インターネットの安全・安心ハンドブック」(Ver.5.10)では、「第5章 パスワードの大切さを知り、通信の安全性を支える暗号化について学ぼう」の中で、パスワード管理の重要性について解説しています。
パスワード管理方法の例として、
- 紙のノート(一見内容が分からないようにできる専用のパスワードノート)に記入
- スマホのパスワード管理アプリを使って、パソコン経由で暗号化した記憶装置にバックアップ
などが紹介されています。
特にパスワード管理アプリは、単にパスワードを保管してくれるだけではなく、条件を設定するとそれに合わせた長くて複雑なパスワードを自動的に生成してくれる他、ウェブブラウザでのサービスログイン時に、自動的に起動してIDとパスワードを入力したり、アプリ起動時にもIDとパスワードを入力してくれたりするものもあり、便利です。
なお、「ウェブブラウザにはパスワードを保存しない」のも大切です。席を離れた隙や、デバイスを紛失してしまったときに比較的簡単な操作で破られてしまう危険があるからです。
■内閣官房 国家サイバー統括室「インターネットの安全・安心ハンドブック」■
https://security-portal.cyber.go.jp/guidance/handbook.html
3 自身のパスワードをチェックしてみよう
1)すぐに破られてしまう危険なパスワードの例
プライバシーとデジタルセキュリティに関するソリューションを提供する大手プロバイダーであるNord Securityが公表する「Top 200 Most Common Passwords」によると、日本では、「admin」「123456」「password」「Freemima123」「12345678」「yamamoto2580」「Chan8899」「rosycash」「102030Abcd」「mokariku」「tootoo」「1qaz2wsx」「Kanazawa2」「123456789」「mirror2009」「never4getyou」「2020Sank」「p@assword123456」「apple555」「aabbccdd1234」が最も一般的なパスワードとなっています(上位20位)。これらは、2024年9月から2025年9月までの間に発生した実際のデータ漏洩事件やダークウェブのリポジトリを分析した結果に基づく分析で、実際に漏えいしたパスワードです。
「yamamoto2580」「Kanazawa2」のように、日本語をローマ字表記にした人名・地名と数字の組み合わせもすぐに破られてしまう恐れがあると考えられます。
■Nord Security「Top 200 Most Common Passwords」■
https://nordpass.com/most-common-passwords-list/
2)「Have I Been Pwned?」(私、漏えいしてる?)
長年の実績があり、セキュリティ業界において評価されている民間のウェブサービスに「Have I Been Pwned?」が挙げられます。次のURLから、メールアドレスやパスワードが漏えいしていないか、確認することができます。
■Have I Been Pwned?■
https://haveibeenpwned.com/
■Pwned Passwords■
https://haveibeenpwned.com/Passwords/
以上(2026年6月更新)
pj40063
画像:Aurielaki-Adobe Stock
