安全で覚えやすいパスワードを作るには、自分の中でルールを決めることが大事

privacy-policy-510728_640

一時期、LINEの乗っ取りがかなり問題になりましたが、今でもいろんなところでパスワードが漏れてます。

つい最近、ぼくのSkypeも乗っ取られたみたいで、友達に変なメールが行ってしまいました。GoogleやAmazon、それにAppleのパスワードはかなり考えて作ってあるんですが、Skypeは結構適当でした。

そこで今回は誰かに乗っ取られないために、安全なパスワードの作り方についてもう1度しっかりと考えてみたので、そのメモをここに書いておきます。

スポンサーリンク
スポンサーリンク

安全で覚えやすいパスワード

絶対にやってはいけない3つの作り方

そもそもパスワードを作る上で、やってはいけないことがいくつかあります。まずこれから、それらをいくつか紹介してこうと思います。

1. 短いパスワードにする

覚えやすいからとパスワードを5、6桁程度にしてしまうと、今ではすぐに見破られる可能性があるので、少なくとも8桁以上にする必要があります。

たとえば、IPA(情報処理推進機構)がパスワード解析ツールを使って、パスワード解析時間を調べたところ、こんな結果が出ました。

Screen Shot 2015-07-13 at 15.50.37

見てもらうとわかるように、「英字(大文字、小文字区別なし)」にしろ、「英字(大文字、小文字区別あり)+数字」にしろ、「英字(大文字、小文字区別あり)+数字+記号」にしろ、4桁、6桁だとすぐに破られてしまうんですね。

「英字(大文字、小文字個区別なし)」だと、いくら8桁でも約17日で突破されてしまいますが、他の2つならかなり安心できることもわかります。

2. 辞書に載ってる文字列を使う

辞書に載ってるような「dog」とか「love」みたいな単語をパスワードとしてそのまま使ってしまうと、Dictionary attack(辞書攻撃)ですぐに見破られてしまいます。

これは辞書に載ってる単語を片っ端から入力していく方法で、大文字、小文字、それに数字なんかも加えて試すので、「D3o54g6」とか「L0o9V3e」のようにしても危険です。

3. 連続した文字列を使う

パスワードは覚えやすい方が楽だからと、「aiueo12345」とか「aabbccddee1234」みたいな連続した文字列にしてしまうと、すぐに突破されます。

SplashDataが発表した「2014年最悪のパスワード」のワースト10を見てみると、いかに連続した文字列を使用する人が多いかがわかります。

1位 123456
2位 passward
3位 12345
4位 qwerty
5位 123456789
6位 1234
7位 baseball
8位 dragon
9位 1234567
10位 football

ちなみに、4位の「qwerty」は単にキーボードの左上の英字を左から順に6桁並べただけです。こういうことも避けた方がよいみたいですね。

使い回しは危険

強固なパスワードを作ることも大事ですが、もうひとつ気をつけておくことがあります。それは同じパスワードを複数のサービスで使うことです。

これをしてしまうと、もしあるサービスのパスワードがバレてしまったときに、あとはもう芋づる式に他のところも危険にさらされてしまいます。

ただ、今はもういろんなサービスでアカウントを作ることを求められることもあって、いちいちすべてのパスワードを違うものにするのは不可能というか、かなり面倒ですよね。

なので、おすすめとしてはGoogleやAmazonのような絶対に乗っ取られてはいけないサービスだけすべて違うパスワードにしておいて、あとはだいたい同じものにする方法。

もしくはせめて少しでもリスクを分散させるために、いくつかのカテゴリーに分けて、それぞれのパスワードを作る方法です。

最近では、新規登録しなくてもFacebookでログインしたりすることもできます。Facebookのパスワードがバレてしまうと、いっきに他のサービスも乗っ取られてしまうので、そういったところのパスワードは特に厳重にしておくことも大事だと思います。

作成方法

では、さっそく本題である安全なパスワードの作成方法について書いていくわけですが、パスワードを作る上で、最低限覚えておきたいルールが3つあります。

1. 長さは8桁以上にする
2. 「英字(大文字、小文字区別あり)+数字+記号」にする
3. ランダムな文字列にする

ただ、あまりにも複雑にしすぎて覚えられなかったら、ログインするたびにそのパスワードが書いてあるノートなんかをチェックすることになります。

こんなことをいちいちしてたら面倒ですよね。ということで、できるだけ覚えやすく、安全性の高いパスワードを作るために、自分でなにかルールを作っておいた方がいいと思います。

たとえば、「辞書に載ってる単語を使う場合は、左から数えて偶数を切り取る」みたいなルールです。

こうすることで、「important(大切な)」なら「iprat」になります。これなら覚えやすいですし辞書にも載ってない単語になります。しかし、Microsoftの「パスワードチェッカー」を見てもらうとわかる通り、これではまだまだです。

Screen Shot 2015-07-13 at 17.42.36

次に英語だけじゃなくて、日本語も混ぜてみます。そのままキーボードで打つ形で「taisetuna(大切な)」なんてどうでしょうか。これもさっきのルールに従って左から数えて偶数を切り取ってみると、「tieua」になります。

さっきの「iprat」と組み合わせると、「iprattieua」になって、これでやっと強度が「普通」になったようです。

Screen Shot 2015-07-13 at 17.46.56

ぼくだったら「大切な」を英語と日本語で使ったので、「大切なGoogle」みたいな感じでそこのサービス名を入れるかもしれません。これも同じように偶数を切り取って、上の2つと合わせて、「iprattieuagol」にします。

Screen Shot 2015-07-13 at 18.05.08

見てもらうとわかるように、いくら文字を多くしても、小文字だけでは強度は「普通」のままです。ここからは上で挙げたように、大文字、小文字、数字、記号を使って自分なりに組み上げていきます。

例としては、「辞書に載ってる単語を使う場合は、左から数えて偶数を切り取る」を応用して、偶数を大文字にするようにします。また、形が似てるので、「i」と「l」は「!」に、「o」は「0」にすると自分の中で決めます。

他にも「gol(Google)」の前に「@」をつけるとか、「@」の前だけは小文字のままにするみたいに自分なりにパスワードをランダムっぽくしてみることで、「!PrAtT!Eua@G0!」みたいなパスワードを完成させることができます。

Screen Shot 2015-07-13 at 18.20.20

これでやっと強度も「とても強い」になりました。使った単語と自分の作ったルールさえ覚えておけば、パスワードを忘れてもその場でどうにかなります。

しかも、この作成方法を使えば、サービスごとに単語だけ他のものにして、ルールはいつも同じにしても問題ありません。なので、最終的に覚えなきゃいけないのは、どのサービスにどんな単語を使ったかということだけなんですね。

まとめ

ちょっと長くなってしまったので、パスワードの作成方法をもう1度まとめます。

まずは以下の3つのルールに従うことが最低限必要です。

1. 長さは8桁以上にする
2. 「英字(大文字、小文字区別あり)+数字+記号」にする
3. ランダムな文字列にする

そして、パスワードを作る上での自分だけのルールをいくつか作ってみます。今回だったら「辞書に載ってる単語を使う場合は、左から数えて偶数を切り取る」ですね。

少し面倒に感じるかもしれませんが、自分の中でルールを作るだけで、覚えやすさは格段に上がります。忘れてしまったときの安心感も違います。

それにルールさえ覚えておけば、パスワードは載せずに単語だけをEvernoteなんかに保存しておくこともできます。これならもしEvernoteの情報が漏れてしまっても、そこからパスワードを推測されることはありません。

もちろん、そのルール自体を忘れてしまったときのために、パスワードは紙のノートにメモしておいた方がよいと思いますが。

スポンサーリンク
スポンサーリンク
スポンサーリンク

シェアする

フォローする