パスワードとパスフレーズ｜概要・それぞれの違いについて解説！ |【案件ナビNEWS】

近年は、セキュリティ対策の重要性が今まで以上に重視され、多くのアプリケーションなどでパスワードの設定が、当たり前となっています。皆さんも日頃利用するシステムなどで様々なバスワードを利用しているでしょう。スマートフォンや自宅への入室、オフィスなど幅広い場面でパスワードが利用されるようになっています。

そして、現在はパスワードよりもセキュリティ性の高いパスフレーズと呼ばれるものも利用されるようになってきました。まだまだパスワードほど普及はしていませんが、今まで以上にセキュリティが高いと考えられているものです。今回はパスワードとパスフレーズの概要から、それぞれの違いなどを解説し、必要に応じて使い分けできるようになっていきましょう。

この記事の目次

パスワードとパスフレーズの概要
パスワードとパスフレーズの違い
パスフレーズを利用するメリット
パスフレーズのデメリット
実際にパスフレーズを生成する際のポイント
まとめ

パスワードとパスフレーズの概要

最初に、パスワードとパスフレーズとは、それぞれどのような意味合いのキーワードであるのか解説していきます。

パスワードとは

パスワードは、個人のデジタルアカウントや、データへのアクセスを保護するための基本的な仕組みです。一般的に、文字や数字特殊文字を組み合わせて生成され、その組み合わせによる複雑さによってセキュリティの強度が変化します。パスワードのセキュリティ強度が高ければ高いほど、外部からの不正アクセスなど、リスクが低くなる仕組みです。

逆に簡単なパスワードや推測しやすいパスワードは、外部からハッキングされるなどのリスクを高めてしまいます。そのため、ユーザーはパスワードを複雑にしたり、同じパスワードを複数のアプリケーションなどで共有したりしないように意識しなければなりません。

パスフレーズとは

パスフレーズは、従来のパスワードよりも長い文字列で、文章やフレーズなどを使用する手法を指します。従来のパスワードはランダムな文字列が推奨されていたのに対し、パスフレーズでは具体的な言葉の並びや文字列を利用することが特徴です。例えば「プログラムにはコメントをつける」など、自分で思い出しやすい文章をパスフレーズとして設定します。

ユーザーにとって記憶しやすい内容を採用することによって、ある程度の長さがあり、セキュリティ強度が高いものを採用しやすくなります。長くとも外部のツールでその内容を管理する必要がないため、素早く利用できることも魅力です。

補足：広義のパスワード

現在では文字列を利用したパスワードではなく、2段階認証や生体認証なども広義のパスワードと呼ばれる場合があります。これらは厳密には文字列を利用していないため、パスワードではありません。ただ、セキュリティ対策全般のことをパスワードと呼ぶこともあるため、その点は認識しておきましょう。

例えば、スマートフォンのロックを解除する際に、指紋認証や顔認証を用いることは、パスワード認証ではありませんが、便宜上パスワードと呼ばれることがあるのです。世の中的にはパスワードというキーワードに対して拡大解釈が見受けられます。そのため、利用の際は「どのような意味合いであるのか」を意識することが重要となってきています。

パスワードとパスフレーズの違い

上記では、パスワードとパスフレーズの概要について解説しました。続いては、概要も踏まえて、両者の違いについて解説していきます。

利用できる文字数

パスワードとパスフレーズは、利用できる文字数に違いがあります。厳密な基準やルールは存在しませんが、パスワードは8文字前後であるのに対して、パスフレーズは20文字以上利用できることがあります。フレーズという部分を重視して、より長い文字数を利用できることがパスフレーズの特徴と理解しても良いでしょう。

一般的に、パスワードなどに利用される文字列は、長ければ長いほどセキュリティ性能が高いと考えられています。これは、コンピュータによる総当たり攻撃が発生した場合、文字数が多いほど計算に必要な時間が長くなるからです。結果、認証を突破される可能性も低くなります。つまり、直接的には利用される文字数の違いですが、セキュリティ面の違いもあると考えてよいでしょう。

スペースを利用できる

大半のパスワードは、数字のみを利用できる仕組みであり、スペースは利用できません。また、基本的には日本語などの2Byte文字も利用できないようになっています。それに対して、パスフレーズは基本的にスペースの利用が可能です。日本語には対応していない場合がありますが、それでもスペースが利用できるようになったことが大きな進化といえるでしょう。スペースを利用できることで、今までよりもコンピュータによる攻撃が難しくなり、セキュリティの強度が高まっています。

もちろん、スペースを利用できることは強みですが、スペースを利用しなければならないというルールはありません。もし、パスフレーズの中にスペースを含められないならば、無理に追加する必要はないでしょう。覚えやすさも重視した概念であるため、スペースを含めることによって忘れてしまうならば本末転倒です。

パスフレーズを利用するメリット

パスフレーズは広く浸透しているものではないため、メリットについて解説しておきましょう。

内容を記憶しやすい

パスワードよりもパスフレーズの方が文章として記憶しやすいことがメリットです。パスワードは意味のない文字列の羅列になってしまうことがありますが、パスフレーズはこれを避けられます。自分なりに意味のある言葉を並べ、人間でも覚えやすくなっているのです。ただ、以下で解説しますが、自分でフレーズを考えない方法もあります。

なお、パスワードでも自分なりに設定できるケースが多いため、人間が覚えやすい文字列にすることは可能です。ただ、人間が覚えられる文字数には限界があります。結果、どうしても短くなったり、覚えられなくなったりしがちです。その点で、パスフレーズの方がより直感的に思い出したり、入力したりできるため、大きなメリットがあると考えられます。

セキュリティを高めやすい

パスワードは長ければ長いほどセキュリティ性が高くなりますが、パスフレーズについても同様です。文字数が多くなればなるほど、セキュリティの強度が高まります。システムなどへのログインで、強靭なセキュリティを維持できるようになるでしょう。セキュリティが特に重視される金融関係のアプリケーションなどは、パスワードよりもパスフレーズの方が適していると考えられます。

とある調査では、パスワードの文字数を8文字から9文字へと増やすだけで、解析に必要な時間は何十倍にもなると試算されました。桁数の違いが解析に必要な計算量に大きな違いを与えるからです。これを踏まえると、パスフレーズのように文字数が長くなりやすい手法は、セキュリティの担保に大きく貢献すると考えられます。もちろんそれでも絶対に突破されないと断言できるわけではありませんが、コンピュータ工学的な観点からは、天と地の差がある計算量なのです。

パスフレーズのデメリット

パスフレーズのメリットが知られていないことと同様にデメリットについても、詳しくは知られていません。

入力に手間がかかる

パスフレーズは、文字数が多いことが特徴です。ただ、言い換えると、毎回のように長い文字列を入力しなければなりません。パスワードも長ければ入力の手間となりますが、パスフレーズはそれよりも手間がかかってしまうのです。システムに急いでログインしたい場合など、少しの手間でも惜しみたい場合には、利便性の悪さが仇になってしまうでしょう。

ただ、問題とはいえども近年は生体認証などを組み合わせてログインできるシステムやアプリケーションが増えています。つまり、パスフレーズが長くとも、利便性に大きな影響を与えないような環境が整ってきているのです。利便性についてはデメリットがありますが、そのデメリットも解消されつつあります。

適切に作成しないと推測されてしまう

パスフレーズの基本的な考え方は、文字列に意味合いを持たせる代わりに、全体を長くすることです。ここで重要なのは「文字列に意味合いを持たせてしまう」という部分でしょう。後ほどポイントでも解説しますが、誰でも推測できるようなフレーズにしてしまうと、セキュリティ強度が大きく下がってしまいます。

誰でも推測できるようなキーワードと比較すると、ランダムに生成されたパスワードの方がセキュリティ性が高いかもしれません。パスフレーズのセキュリティ強度は、あくまでも「文字数の多さ」に基づく計算結果です。有名なフレーズであるかどうかなど、文字数ではない「文字の並び」という観点は考慮されていません。推測されやすいパスフレーズはセキュリティ面での意味合いを失いかねないため、ここはデメリットとして認識しておきましょう。

実際にパスフレーズを生成する際のポイント

具体的にパスフレーズを生成したい場合、どのようなポイントを意識すれば良いかについても解説します。

予想されやすいキーワードを避ける

パスワードと同様に、パスフレーズでも予想されやすいキーワードは避けるようにしましょう。例えば有名な曲のタイトルや、著名人の発言、歴史的な人物などの名前はパスフレーズとして望ましくありません。外部の人間が想像できる可能性のあるキーワードは、文字数が多くとも攻撃によって突破されてしまう可能性があります。

特に有名なキーワードやフレーズについては、世界中の攻撃者がプログラムを作成し、システムへ攻撃を仕掛けている状況です。このようなキーワードは、プログラムによって攻撃される可能性があります。十分な文字列でも文字数でも、セキュリティ的な側面では、効果を果たさないかもしれません。

逆に、自分しか知らないようなフレーズであれば、多少短くとも十分なセキュリティ効果を発揮すると考えられます。パスフレーズには有名な言葉などを含みがちですが、それは避けましょう。自分たちしか使わないものがあるならば、それを活用することでセキュリティを高められます。

多くの単語を組み合わせる

上記でも触れましたが、文字列は長ければ長いほど、セキュリティ性が高まります。そのため、パスフレーズの作成においては、できるだけ多くの単語を組み合わせるようにしましょう。例えば、上記の「プログラムにはコメントをつける」のように、キーワードだけではなく助詞や助動詞を含めることによって、文章全体を長くします。また、単語だけの場合でも複数を並べることによって、全体としては文字数を増やすという方法も考えられます。

なお、パスフレーズを簡単に生成するための概念として「Diceware（ダイスウェア）」と呼ばれるものがあります。もし、パスフレーズが思うように思いつかないならば、こちらの方法を利用してみると良いでしょう。

まず「サイコロを5つ」と公開されている「ダイスウェア単語一覧」を用意します。そして、以下の流れでパスフレーズを作成していきましょう。

1. 5つのサイコロを同時に振り、それぞれの目を5桁の数字として記録する
2. 5桁の数値と一致する単語を一覧から探し出す
3. これを7回繰り返して長いパスフレーズを完成させる

人間が単語を思い浮かべると偏ったものになりがちです。そのため、サイコロを利用してランダムに単語をピックアップするようにします。推奨は7回ですが、状況に応じて回数は変動させても良いでしょう。なお、7単語から生成されたパスフレーズの解析には、総当たり攻撃を続けて2,000万年以上が必要とされているため、セキュリティ強度の観点からこちらをおすすめします。

参考：Diceware Word List in Japanese – GitHub

まとめ

パスワードもパスフレーズもセキュリティを高めるための仕組みは違いがありません。ただ、パスワードは意味を持たない文字列になる可能性があるのに対して、パスフレーズは意味を持つ文章が基本です。人間の記憶に残りやすいかなどの違いがある点に注目しておきましょう。

一般的に、パスワードやパスフレーズは文字列が長いほどセキュリティ性能が高まります。そのため、パスフレーズのように長い文字列を利用すると、高いセキュリティの担保が可能です。現状、パスワードが利用されるケースが多いですが、セキュリティを担保するためにパスフレーズも増えていくでしょう。