僕が行っている安全なパスワードの作成方法

2013.12.28

パスワードをどう扱うのか今ネット上の議論が熱いですが、じゃあ、安全で現実的なパスワードはどうやって作成するのがいいのかという情報は意外に少なかったりします。

ですので、私が実際に行っているパスワード作成の方法をサンプルとして提示します。

パスワードでやってはいけないパターン

まず、パスワードでやってはいけないパターンに触れておいた方がよいですね。

  • パスワードを複数のサービスで使いまわす
  • 短いパスワードを使う
  • ユーザー名、ログイン名を使う
  • 辞書に載っている文字列を使う
  • 連続した文字列を使う

結構ありますね。1つずつ見て行きましょう。

パスワードを複数のサービスで使いまわす

これは現在、最もやってはいけないパターンの1つです。複数のサービスでパスワードを使いまわすと、どこかのサービスからパスワードが漏洩したときに、そのパスワードで他のサービスにログインされ悪用されてしまいます。

これは「リスト型攻撃」と呼ばれ、現在、多くのサービスが不正ログインされています。中にはクレジットカードの番号が閲覧されて悪用されるという事件も起きています。

ですので、複数のサービスで同じパスワードを使いまわしてはいけません。

面倒ですが、自衛策として必須です。パスワードの管理はユーザーの責任です。

短いパスワードを使う

パスワードが 5 文字以内だと、スーパーコンピューターでは一瞬でパスワードが解析されてしまうと言われています。

少なくとも、8 文字以上のパスワードにしましょう。

ユーザー名、ログイン名を使う

いわゆる「ジョーアカウント」と呼ばれるものですね。

ユーザー名、ログイン名と同じパスワードは、簡単にログインを突破されてしまいますので使用してはいけません。

最近のサービスでは、ジョーアカウントを禁止しているものが増えてきています。

辞書に載っている文字列を使う

辞書というのは、攻撃者が使用している辞書で一般的な用語が登録されています。辞書を使用した攻撃は、「辞書攻撃」と呼ばれています。

辞書に載っているような、一般的な用語は簡単にログインを突破されてしまうので使用してはいけません。

連続した文字列を使う

「aaaaa」「12345」といった連続した文字列や数値のパスワードは、簡単にログインを突破されてしまうので使用してはいけません。

「qwerty」といったキーボード配列で連続したパスワードも同様です。

安全で覚えやすいパスワードの作成方法

では、どのようなパスワードが安全かというかというと、以下の条件を満たすパスワードになります。

  • パスワードの長さは最低 8 文字以上
  • 英字の大文字・小文字、数字、記号を 3 種類以上組み込む
  • 複数のサイトで同じパスワードを使いまわさない

要件としては、意外に単純ですね。これでランダムな文字列でパスワードが作成されていればかなり安全なのですが、それだと人間には覚えきれないので、安全で覚えやすいパスワードを作成する方法を考えましょう。

まず、覚えやすい単語を 3 つほどピックアップします。ここでは季節的に、「santa」「tonakai」「sori」をピックアップしてみましょう。これらは辞書に載っているであろう文字列ですが、後で手直しをするので心配しないでください。

まず、英字の大文字小文字を組み合わせて文字列を連結し、「SantaTonakaiSori」とします。

次に、文字列に記号を混ぜ、一部の単語を省略し、数値もつけて、「Sant@Tonaka!Sor794」とします。

これで上記の要件を満たすパスワードができました、カスペルスキーが提供している「パスワードチェッカー」でパスワードの強度を調べてみましょう。

とても強いパスワードだと判定されたので問題ありませんね。

それでは、複数のサービスで使うためにはどうしたらいいかというと、作成したパスワードにサービスの略称を追加します。Facebook なら「fb」、Twitter なら「tw」という具合です。そのままマネしないでくださいね。

ですが、パスワードの後ろに単純に追加するのは不安があるので、パスワードの途中に、大文字・小文字の区別をつけてパスワードを作成すると以下のようになります。

  • Sant@FbTonaka!Sor794
  • Sant@TwTonaka!Sor794

これで、サービスごとに異なる安全で覚えやすいパスワードを作成することができました。

安全上、若干、私が使っているルールとは変えていますけどね。

さらに安全なパスワードの作成方法

さらに安全なパスワードにするために、「グループ化」という概念を導入します。これは一般的な言葉ではなく、私が勝手に言っているものですが、パスワードを以下のグループに分類します。

  • ソーシャルメディアサービスその他
  • メールサービス
  • クレジットカードを使用するサービス
  • 金融サービス

グループごとに、パスワードのパターンを変えることでよりパスワードを安全にします。また、リストの下に行くほどパスワードの強度を上げていきます。

なお、金融サービスのグループでは、サービスごとにパターンを変えるくらいでちょうどよいです。

 まとめ

私が実践している、パスワードを安全に作成する方法をご紹介しましたが、いかがだったでしょうか。

基本的にこの方法でパスワードを作成しているのですが、残念なことにサービスによっては、文字数が制限されていたり、記号が使えなかったりします。その場合は、できるだけパターンに当てはめ、安全になるように努めています。

パスワードの文字の種類や長さ(常識の範囲で)に制約を加えるのは、今では時代遅れだと思うのですけどね。

参考サイト

スポンサーリンク

コメント

タイトルとURLをコピーしました