強いけど忘れないパスワードの作り方

インターネット時代のセキュリティリスク

今月1日(2013年2月1日)ツイッターがサイバー攻撃を受けたそうです。原因は定かではありませんが、先日脆弱性が問題化したJavaの可能性もあるようです。サービス提供サイドとしてはセキュリティをこれまで以上に強化して欲しいところではありますが、僕たちユーザーも気をつけなくてはいけませんね。

では僕らが気をつけるセキュリティとは何でしょうか?最も身近で最も重要なのはパスワードです。サービスサイドがどれだけセキュリティを強化してもパスワードが簡単すぎ、短すぎだと、それだけパスワードは破られやすくなります。「誰が私のツイッターユーザーをわざわざ乗っ取るの?」なんて思っちゃいけません。サイバー悪党はたかがツイッターのアカウントから様々な悪さを働きます。

特に危険なのは次の2点。

なりすまし

たかがツイッター。しかし、不正にアカウントを乗っ取られ、勝手にパスワードを変えられ、自分はログインができない間に、好き放題されたらどうなるでしょうか。

他サービスへの不正侵入

メールアドレスとパスワードがひとつバレると、その他様々なサービスでも同じようにアタックされます。つまり複数のサービスに不正侵入されちまう確率が極めて高くなります。これだけ多様なサービスがあると、サービスごとにメールアドレスを変えたり、パスワードを変えたりしている人はほとんどいないと思います。メールアドレスやパスワードが増え過ぎても逆に管理できないのでセキュリティリスクとのトレードオフになっていることを忘れちゃいけません。

忘れない、でも強力なパスワードの作り方

今日飛行機に乗るちょいと前に空港で日テレのZIPをたまたま見たのですが、簡単に覚えられてかつ強力なパスワードを作るテクニックが紹介されていましたので、それと僕が大学時代に先生から教わったパスワードの作り方を合体させてメモしておきたいと思います。

基本は大文字・小文字・数字・特殊文字・12文字以上

例えば、小文字だけで、しかも実在する地名や名前、辞書に載っている単語だと、プログラムによる総当り(Dictionary Attack)でパスワードは解析されてしまいます。しかし、大文字・小文字・数字・特殊文字で12文字以上あると、その組み合わせは膨大になります。1人を解析するだけで何時間もかかるようでは、何十万人も解析することは実質不可能となるでしょう。だから、みんなが強力なパスワードにすることは、とても大切なことなのです。つまりこんな感じです。

ibO=qm9$t2N3

かなり強力なパスワードです。が、ちょっと覚えられっこありません。そこで実際に使うのは、このような乱数的なパスワードではなく、パスフレーズというテクニックです。

金沢

これをローマ字にします。ここでは金沢としましたが、自分のフルネームや、区市町村名とか、自分の好きな芸能人とかキャラとか、絶対に忘れないものであればなんでも良いです。

kanazawa

単語の最初と最後を大文字にします。これはルールです。ルールだと忘れないもんです。

KanazawA

最初のaを@に変えます。変換するのは最初の1個だけか、全部か、どちらかです。中途半端にすると混乱します。こちらも自分の中で「最初のaだけ@にする」とか「aはすべて@にする」というルールにしておきましょう。

K@nazawA

ハイフンと誕生日をくっつけます。誕生日じゃなくても車のナンバーとか電話番号の下4桁とか絶対に忘れないものならOKです。これも統一するようにしましょう。パスワードによって車のナンバーだったり、誕生日だったりでバラバラにすると必ず混乱するものです。

K@nazawA-1031

そしてサービス名やカテゴリ特有の文字をくっつけます。これによって強力なパスワードでありつつも、複数のサービスで管理できるうまい方法ですね。

<SNS用のパスワード>

K@nazawA-1031-SnS

<ツイッター専用のパスワード>

K@nazawA-1031-TwitteR

<その他サービス用のパスワード>

K@nazawA-1031-[Another service namE]

僕の場合は、さらにこの後に一番最後は!とか$で終わるというルールにしています。<例:K@nazawA-1031-SnS!>とりあえずパスワードはまずはルールを決めてから作るというのが鉄則です。適当に作ったパスワードは必ず忘れます。忘れるから簡単なパスワードにしたり、メモ帳に書いたりしちゃうんですね。忘れないけど、強力なパスワードを作ることは可能です。特にクレジットカードや住所・電話番号などの個人情報を登録しているサイトは、必ず強力なパスワードにすることと、他のサイトで使っているパスワードを再利用しないことは徹底するようにしましょう。

インターネット上での自分の身は自分で守るしか無い

インターネットは便利である反面、悪用するにもとても便利なツールです。繰り返しますが、僕らユーザーが自分の身を守る最も重要で、そして簡単な方法はパスワードを強力にすること、そしておかしなWebサイトやメールは開かない、リンクはクリックしないことです。ぜひ、このエントリーを見て、ご自身のパスワードを思い返してみてください。ヤワなパスワードだと思ったら、今すぐに変更しましょう。