PINコードとパスワードの違い

こんにちは、パソプラ編集部です。

銀行のATMの暗証番号は数字4桁、スマートフォンのパスコードも４～6桁。

Gmailなどログインしてブラウザ上で使うサービスは英字＋数字で8桁以上など、複雑さに違いがあるのはなぜでしょうか？

先日ご紹介した記事、インターネットを安心して使うためのガイドブック「情報セキュリティ ハンドブック」に、PINコードとパスワードの違いが載っていました。

ATMの暗証番号やスマートフォンのパスコードは「PIN（ピン）コード」と言われ、どちらも共通しているのは数回間違うとロックがかかって入力が不可になってしまいます。

iPhoneの場合数回間違えると「１分後にやり直してください」が画面に表示されます。

1分後に再度間違えたパスコードを入力すると「５分後に…」

その後「15分後…」「60分後…」時間が伸びて行き、10回間違えると「10回間違えたらデータ消去」に設定した場合、いきなり消去されるようです。

（試したわけではありません）

つまり数字４桁の場合、10000通りの組み合わせを試す「総当たり攻撃」が事実上できない設計になっています。

一方、Webサービスのログインパスワードの場合は、誰でもアクセスできるサイトを使います。ログインアカウントもメールアドレスなど比較的入手しやすい情報を使うことが多く、セキュリティの要はパスワードにかかっています。

増して何度でも試せるログインパスワードはその複雑さが大変重要になってしまいます。

先の「情報セキュリティ ハンドブック」によると推奨されるログインパスワードは

「大文字英字+小文字英字+数字+記号で10桁以上」

だそうです。

これだと、88種類 ✕ 10桁 ＝ 2785京（10の16乗）個の組み合わせになり、1秒間に5回の総当たり攻撃をしても全部試すまでに約1760億年かかり、事実上不可能だそうです。

最近は「Facebook 認証」や「Google+ 認証」などソーシャルログインで利用できるWebサービスが増えてきて利便性が高くなっています。

肝心のFacebookのパスワードやGmailのパスワードこそ攻撃の対象になりやすいので、上記の「推奨されるパスワード」にして乗っ取られないように注意しましょう。

昨今、方針が変更された「パスワードを定期的に変更する必要なし」も、安易なパスワードを使い回しするぐらいなら複雑なパスワードを使い続けたほうがリスクが少ないからだそうです。

「そんな難しいパスワード、覚えられないよ～。」

そんなときは、ノートか紙に書いて自分しかわからない場所にしまっておきましよう。

紙ならオンラインからハッキングされる心配もありません。

あなたのデジタルライフをデザインする教室　パソコープ パソプラ編集部 Instagram：@pasopla.writter Twitter:：@pasocoop