
Chromeブラウザでサイトにログインすると「パスワードの確認」画面が表示されることがあります。
パスワードの確認とは
Chromeが表示する「パスワードの確認」とはこの画面です。

世の中にはIDとパスワードの組み合わせが多数漏洩しています。
悪意を持つ人がいろいろなサイトでそうしたIDとパスワードを次々と使ってログインを試みれば、本来ログイン資格のないサイトでもログインできてしまう可能性が高いものです。
そして、Chromeが「パスワードの確認」を表示するのはログインに使用したIDとパスワードの組み合わせがすでに漏洩しているものと一致する場合です。
この画面にある「パスワードを確認」ボタンをクリックするとChromeに保存されているIDとパスワードの中ですでに漏洩しているものと一致するものが表示されます。

この画面の「パスワードの変更」をクリックするとIDとパスワードが使われているサイトに遷移しますので、遷移先のサイトでパスワードを安全なものに変更すれば解決です。
パスワードの作り方
Chromeで「パスワードの確認」が表示されないような安全なパスワードはどうやって作ればいいのでしょうか。
- 使い回さない
- 長くする
- 文章にする
- 数字、記号、大文字/小文字混在は不要
- 無期限
使い回さない
異なるサイトで同じパスワードを使い回さないようにします。
自分がどんなに注意しても利用しているサイトからIDとパスワードが漏洩することがあるためです。
前述のようにそうして漏洩したIDとパスワードでいろいろサイトにログインを試みる攻撃が行われています。
それに対処するにはサイト毎に異なるパスワードが必要になります。
以下のようにパスワードにサイト名やサービス名などを含めるのも1つの方法です。
長い
パスワードの文字数は長ければ長いほど破られにくくになります。
総当り攻撃(Brute Force Attack)によるパスワード解読が事実上不可能になるためです。
総当り攻撃とはすべての文字を総当りで試してパスワードを解読する方法です。
もし連続してパスワードを間違えたら一定時間ログインできない、などの措置がないサイトであれば5~6文字のパスワードなど総当り攻撃によって、すぐに解読されてしまいます。
しかし、総当り攻撃はパスワードが長くなると解読時間が飛躍的に増え、10文字のパスワードであれば英字のみであっても解読に10年単位の時間が必要になります。
12文字以上のパスワードなら総当り攻撃では事実上解読不可能です。
ただし、サイトによっては長いパスワードを設定できない場合があります。
文章
password(パスワード)の「word」とは単語のことですが、単語をパスワードに使うべきではありません。
辞書攻撃(Dictionary Attack)によって解読されるためです。
辞書攻撃とは辞書にある単語を試してパスワードを解読する方法です。
たとえ、パスワードに「floccinaucinihilipilification」(軽視、軽蔑)という長い(29文字)の単語を使ったとても辞書攻撃によって解読されます(連続してパスワードを間違えたら一定時間ログインできない、などの措置がないサイトの場合)。
総当り攻撃と違って辞書攻撃の解読時間はパスワードの長さに関係ないためです。
また通常、単語のパスワードでは前述の「長い」要件を満たせません。
そのため、パスワードは単語でなく文章にします。
例えば以下のような感じです。
数字、記号、大文字、小文字混在は不要
サイトによってはパスワードに数字、記号、大文字、小文字混在を要求します。
そうすることで単純な単語をパスワードにできなくなり、辞書攻撃によるパスワード解読を避けられるからです。
しかし、文字種の混在によってパスワードは複雑にはなりますが、長くなるわけではないため総当り攻撃に対しては無意味です。
無期限
無期限とはパスワードに有効期限を無しに設定することです。
昔はパスワードに有効期限を設定し定期的に変更するのが安全とされていましたが、現在では見直されています。
定期的にパスワードを変更すると、すぐに見れるノートなどにパスワードを書いておくようなことをやってしまいがちなためです。
ただし、サイトによっては定期的なパスワードの変更を強制されます。
パスワード管理アプリ
サイト毎にパスワードを作って管理するのは大変、というのであればパスワード管理アプリの定番である「1Password」がオススメです。
1Passwardはその名の通り、1つのパスワードを覚えておくだけで複数のパスワードや以下のような重要データなども管理できます。
- クレジットカード情報
- 銀行口座情報
- ライセンスキー
ブラウザのパスワード入力機能を使わず、つまりブラウザにパスワードを保存することなく1Passwardでブラウザにパスワードを自動入力させることもできます。
コメント