オチェアーノ - 情報の海に溺れて

読者です 読者をやめる 読者になる 読者になる

オチェアーノ-情報の海に溺れて

情報漏えいの事例など、情報セキュリティ意識を高めるブログ

MENU

簡単パスワードでセキュリティ10倍!覚えやすく使い回せるおすすめのパスワードの作り方

パスワードを複雑にすると大変・・・

パスワードはできるだけ長くして、大文字小文字英数字をバランスよく混ぜること。二つ以上のウェブサイトで同じようなパスワードを使い回してはいけない。あれはダメ、これはダメ、とパスワードの複雑性に対する要求はとどまることを知りません。実際問題、自分の利用しているウェブサイトのパスワードを全て違うものに設定し、セキュリティ性の高いパスワードを選んでいる人はどれだけいるのでしょうか。

 

最近では大手不倫サイトの個人情報流出が記憶に新しいところですが、基本的にアカウント乗っ取り被害などの不正アクセス事件はほとんど個人の不注意に起因するものです。簡単なパスワードを設定しているとか。adobeの流出事件の際でもランキングトップはPasswordという非常に単純かつ貧弱なものだったことが報告されています。パスワードの流出に対する対策は以下の記事を参照してください。

 また、パスワードを使い回すと、どれか一つのサイトから流出した瞬間にゲームオーバーです。打つ手がありません。

 

しかし、実は難解なパスワードをいとも簡単に作成し、とても覚えやすい形でしかも複数のウェブサイトに重複なく使い回す方法があるんです。その方法とは、以下の3ステップに従って、パスワードを決めるだけで済みます。

 

1. パスワードを覚えやすくする

2. パスワードを難解にブレークダウンする(英数分割

3. 使い回せるようにパスワードに拡張性を持たせる

 

 1. パスワードを覚えやすくする

たくさんのパスワードを管理するのは煩雑で大変。覚えられない。その通りです。なので、一つだけ難しい言葉を選んでください。難しいっていっても例えば天体観測が好きなら天体観測でも構いません。自分が好きな言葉を使って、パスワードを作りましょう。覚える必要があるキーワードは一つだけです。一つだけだったら、ちょっと難しい言葉でも覚えられます。

 

ここで選ぶ言葉は、できれば10文字を超える長さのものが好ましいですが、8文字程度でも全く問題ありません。本記事の例では天体観測を使おうと思います。このパスワードが、複雑に進化していく姿を見てください。では、ベースとなる言葉は天体観測で、これをアルファベットにするとTentaikansokuです。

2. パスワードを難解にブレークダウンする

標的型攻撃ではなく、総当たり的な攻撃、いわゆるブルートフォースアタックと呼ばれる攻撃に対してもっとも効果的なパスワードは、多項式時間で解こうとすると天文学的な時間がかかるもの。全てが小文字であれば所詮26種類の文字の組み合わせですが、大文字が含まれた瞬間に組み合わせは倍になり、更に数字が混じれば組み合わせの総数は跳ね上がります。

 

また、辞書に載っている単語を組み合わせて作ったパスワードなどは、そのまま辞書攻撃に弱いです。では、辞書に載っている言葉と被らない様にするには、大文字数字をどう混ぜるべきでしょうか。それは、パスワードを英数分解することです。

 

英数分解とは、ある日本語をアルファベットに直し、いくつかのパートに分解し、大文字と数字を組み合わせるルールを決めることです。例えば、

 

・天体観測を3つに分解

・分解したそれぞれの部分の先頭の文字を大文字にし

・それぞれの部分の文字数を後尾につける

 

とどうなるでしょうか。

 

ケース1:天体観測 = tentaikansoku = tentai + kan + soku = Tentai + 6 + Kan + 3 + Soku + 4 = Tentai6Kan3Soku4

 

ケース2:天体観測 = tentaikansoku = ten + taikan + soku = Ten + 3 + Taikan + 6 + Soku + 4 = Ten3Taikan6Soku4

 

どうでしょう。単純な一つの言葉があっという間にとても複雑なパスワードになりました。しかも辞書攻撃にも強く、総当たり攻撃では果たして突破するのにどれだけの時間が必要なのか検討もつかないほど。また、分け方によって無限の組み合わせが考えられます。

 

単語をどういう風に分けるかはお好みで調整できますので、韻で分けるとか、打ちやすいかたまりで分けるとか、色々考えてみてください。ルールも上記に縛られる必要はなく、分解した言葉の後尾を大文字にするとか、文字数ではなくてaが含まれる数を後尾につけるとか、いくらでもルールは改造できます

 

これで、忘れる心配のない高セキュリティのパスワードはできました。でも、パスワードを一つだけというわけにはいきませんよね。

3. 使い回せるようにパスワードに拡張性を持たせる

さて、覚えやすくとても複雑なパスワードができました。今度は使い回す番です。え?パスワードは使い回してはいけないのでは?その通りです。もちろん、そのまま使い回すわけではありません。

 

利用しているサイトがFacebook、Gmail、Apple、Mixiだったとしましょう。拡張性を持たせるためには、先ほどのパスワードに”使用されるサイトの識別子”を設定すれば良いのです。例えば、ウェブサイトの頭4桁(先頭は大文字)+ウェブサイトの名前に含まれるiの数だとしましょう。そうすると、

 

Facebook→Face0、Gmail→Gmai1、Apple→Appl0、Mixi→Mixi2

 

となります。これを先ほどのパスワードと組み合わせると・・・

 

Facebookに使うパスワード:Face0Tentai6Kan3Soku4

Gmailに使うパスワード:Gmai1Tentai6Kan3Soku4

Appleに使うパスワード:Appl0Tentai6Kan3Soku4

Mixiに使うパスワード:Mixi2Tentai6Kan3Soku4

 

となります。覚える必要があるのは、天体観測を英数分割した時のルールと、拡張性を持たせるためのルールだけ。たったそれだけで、普通の総当たりではまず突破されるようなことのない難解なパスワードをどのようなウェブサイトに対しても使うことができるんです。

 

しかも、英数分割されることで数字で区切られた言葉をシフトをリズム良く押す事で、慣れると意外に早く入力できるようになります。ルールも二つだけですから、一週間も使えば考えずに手が動く様になります。

 

この例では英数分割のところで3分割したため凄まじく難解になっていますが、実際のところ2分割でも何ら問題ありません。サイト毎の識別子だってこんな複雑なものでなくても、ウェブサイトの下2桁とかでもいいんです。シンプルにしすぎると今度は似たような名前のサイトがある場合にダブってしまいますけどね。

まとめ

忘れにくく、ほぼ突破されなくて使い回せる万能パスワードは、下記3ステップに従って作りましょう:

 

1. パスワードを覚えやすくする

2. パスワードを難解にブレークダウンする(英数分割

3. 使い回せるようにパスワードに拡張性を持たせる

 

本記事にある英数分割や拡張のルールはあくまで一例です。そのまま使ってもらっても、改造してもらっても構いません。自由度が高いため、どのような運用をしようと高い安全性を誇ります。今日から少しづつ、セキュリティの高いパスワードを使っていきたいですね!

 

また、作成したパスワードや、上記の方法に移行するまでの間のパスワード管理法についてはこちらで紹介していますのでご参考まで。