セキュリティエンジニアの考える安全で覚えるのが簡単なパスワードの作り方

皆さんは普段から一つのパスワードを使いまわしてはいないでしょうか?

セキュリティの観点から、可能な限り同じパスワードを使い回さない事がよいとされています。
LINEの乗っとり被害はまだ記憶に新しい事件ですが、これは犯人が他のサイトをハッキングし、流出させたID(メールアドレス)とパスワードの組合せを使って、LINEでログインを試みています。その時、IDとパスワードがLINEでも同じものを使っていると、ハッキングされていないLINEへの乗っ取りも成功してしまうのです。
しかしながら、何個もパスワードを覚えるのは大変です。そこで私の考える、できるだけ安全で、可能な限り覚えやすいパスワードの作り方を伝授します!

まずは避けておきたい危ないパスワードとは?

単純な文字

「123456」や「password」など、推測されやすいパスワードは使用を避けましょう。これらのパスワードは2014年度の調査で最も使われているパスワードとしてランクインしています。
同様に「1111」や「abcdefg」など連番やアルファベット順なども簡単に推測されてしまうので、やめておきましょう。

2014年でもっとも人気のある、そして危険なパスワードは「123456」
http://www.garbagenews.net/archives/2128676.html

誕生日など、個人情報から推測される文字

例えば、誕生日が1月13日だとして、「(名前)0113」などのパスワードは避けましょう。
現在はFacebookなど、ソーシャルメディアの普及で、あなたの誕生日ぐらいは簡単に知られてしまいます。

名詞など、英語辞典に載っているような単語

古くからあるパスワードクラック手法ですが、英単語の辞書に登録されている単語を片っ端からパスワードとしてログインを試みるパスワードクラック手法があります。
パスワードを「football」や「banana」など、「この世に存在する」単語にしていませんか??
現在では連続してパスワードを3回以上ミスした人を一定時間ログイン出来なくするなど、サービス側で対策が進んでいますが、いつかは破られてしまうので、これも要注意…。

これらの条件を満たすパスワードはできる限り避けましょう!

それでは、安全なパスワードとは一体何でしょうか?

ランダムな英字

全く意味を成さないランダムな英字は、パスワードの予測を最も難しくします。ただ、本当にランダムすぎる文字は人間が覚えるのに適さないので、例えばあなたの名前が「田中太郎」であるならば、ローマ字の頭文字をとって、「tnktru」などにすれば、きっと覚えやすく、推測の難しいランダムな文字が出来るはずです。

8文字以上

大体のシステムは、パスワードに8文字以上の桁数を求めています。推測しにくい8桁以下のパスワードを作っても、パスワードの登録先で8桁以上を求められてしまえば、自分の使っているパスワードは使えなくなってしまいます。このような自体にならないためにも、出来る限りパスワードは8桁以上のものを用意しましょう。

また、パスワードは桁数が多ければ多いほど、総当り攻撃(a~z等すべての文字の組合せでログインを試す攻撃)に対して耐性が強くなります。

出来ればランダムな英字に数字も含める

ランダムな文字に数字を加える事でより推測が難しくなります。できれば前後に数字を入れるのではなく、文字の間に入れて下さい。例えば「tnk18tru」などです。

もっと安全、英字の一部を大文字にする

更に安全にするためには、英字の一部を大文字にすることでより強固なパスワードとなります。例えば、「tnk18TRU」このようにすることで、パスワードの特定が更に難しくなります。

では、覚えやすく安全なパスワードとは一体どのようなものでしょう?

安全なパスワードの条件を満たすパスワードを2つ作る

パスワードは、上記の条件を満たすものを最低でも2つ作りましょう。例えば「tnk170TRU」「rng170DISK」です。170は私の身長が170センチだからで、ソーシャルメディアには身長はほとんど書きませんよね?もっと念には念を入れて…。公開しにくい体重でも構いません(笑)
また、「rng170DISK」は「リンゴ大好き」をローマ字の頭文字をとってパスワードを作っています。間の数字は同じく身長を使います。

2つ作ったパスワードを組み合わせて新たなパスワードを作る!

作ったパスワードを組合せたりして複数のパスワードを作ります。パスワードA、パスワードB、パスワードAB、パスワードBCと言ったように組合せます。例えば「tnk170TRU」「rng170DISK」「tnk170TRUrng170DISK」「rng170DISKtnk170TRU」という感じです。

このようにすることで、パスワードが仮に一つ流出してしまった場合でも、残り3/4のアカウントは安全性を保つことができます。
パスワードは様々な理由で流出してしまいます。メモ書きしていたものが漏れてしまったり、あるいは自分が登録していたサイトがハッキング被害を受け、情報が流出してしまう場合などです。一つのパスワードが流出し、複数のアカウントが二次被害を受けないよう、パスワードは流出することが前提で賢く運用しましょう。

Comments are closed