Take IT Easy![19]安全で管理しやすいパスワードの作り方/若林健一 / kwaka1208

投稿:  著者:  読了時間:8分(本文:約3,600文字)


最近、あるサービスを攻撃して取得したIDとパスワードの組み合わせを使って、それ以外のサービスに不正アクセスするケースが多くなっているそうです。

My SoftBank
< http://www.softbank.jp/corp/group/sbm/news/info/2014/20140228_01/ >

はてな
< http://hatena.g.hatena.ne.jp/hatena/20140224/1393211701 >

mixi
< http://mixi.co.jp/press/2014/0228/12151/ >

これらは、同じIDとパスワードを異なるサービスで「使い回し」しているケースが多いことに目をつけた攻撃方法ですので、それぞれのサービスで異なるIDやパスワードを使っていれば回避できます。

しかし、パスワードはサービスによって文字数だとか利用可能な文字の種類が異なるため、どんなパスワードにするか悩むことも多いかと思います。




中にはセキュリティ上の理由から「定期的にパスワードの変更すること、過去何回かと同じパスワードは×」というように定期的にユニークなパスワードの更新を求めるサービスもあります。

ただでさえ悩むパスワードを「3か月毎に変更しろ、過去2回つかったものと同じものはダメ」と言われると設定するネタが尽きてしまって、無理矢理ひねり出して設定したものの、次にアクセスした時にはパワスードを忘れてしまっていた、という経験をされた方もいらっしゃるかと思います。

そこで、今回は「安全で管理しやすいパスワードの作り方」について取り上げてみたいと思います。

●パスワードを作るための自分だけのルールを作る

結論から言うと「パスワードを作るための自分だけのルールを作る」ということです。といっても、それだけでは何の事だか? ということになると思いますので、具体例を挙げて説明します。

先にも書いた通り、パスワードの条件はサービスによって様々です。ネットバンキングのようなサービスでは、パスワードではなくて予め配布された乱数表の特定の番号を入力するような、認証方式を採用しているところもあります。

ここでは、一般的にIDとユーザーが決めたパスワードで認証するような、より多くのサイトで使えるパスワードとして以下の条件を設定しました。

1)文字数は、8文字以上。
2)使える文字種は、アルファベットの大文字、小文字と数字を混ぜる。
3)サイトごとに異なるものにする。
4)定期的に更新することを念頭に置く。

【文字数】

文字数は長ければ長いほど安全ですが、覚えにくくなります。8文字未満のパスワードを認めていないサイトがほとんどですので、8文字以上としました。以下の手順では8文字のパスワードを作って行きます。

【文字種】

最近は、アルファベットと数字の混合を指定しているところが多くみられます。また、大文字を含むところも多いです。一方で、"-" や "." などの記号についてはサイトによって使えないところもあるので、使わない方が良いでしょう。

【サイトごとに違うものにする】

仮にどこかのサイトでパスワードの漏洩があったとします。他のサイトでも同じパスワードを使っていたとすると、他のサービスに対しても同じID、パスワードでの認証が試されると不正にアクセスされる可能性がありますので、サービスごとにパスワードを変えておくべきなのです。

【定期的に更新する】

認証はIDとパスワードの組み合わせで行いますので、同じ組み合わせを使い続けていると破られる可能性が高くなります。IDは変更できない(しない)ことがほとんどですので、パスワードの方を定期的に更新することでより安全な状態になります

以上の観点を基に具体的にパスワードを考えて行きましょう。

1)アルファベットの部分を決める

全部で8文字にしますので、まず4文字でアルファベットの部分を作成します。アルファベットの部分を決める時に、注意しなければならないのは英単語("dog" とか "apple" とか)を使わないということです。

パスワードを破る手法の一つとして、辞書に載っているような単語を片っ端から試して行く方法があります。英単語を使ってしまうと、この手法でパスワードを見破られてしまいます。ですので、まったく意味の無いアルファベットの組み合わせを作りましょう。

なんでもいいのです、適当に目をつむってキーボードを押すでもいいです。4文字の組み合わせぐらいなら覚えることは可能です。ここでは "spwa" とします(これもキーボードを見ないで押して決めました)。

2)数字の部分を決める

次に数字の部分を決めましょう、ここでは2文字の数字を作ります。最初に書いた通り、パスワードは定期的に変えた方がより安全になりますので、定期的に変更することを前提に、パスワードの作成日から決めることにします。今日は2014年06月10日ですので、年月日を2桁ずつに区切って全部足した数字をパスワードに使うとしましょう。

20+14+06+10=50 パスワードの数字の部分は、50になりました。

3)サイトごとに違う部分を決める

サイトごとに異なるパスワードといっても、全部違うパスワードにするのは大変です。なので、パスワードの一部分を違うものにすることでサイトとごとに変えて行きます。

ただし、サイトごとに違う部分がランダムなアルファベットや数字ではやはり大変なので、サイトと関連づけられるようにしましょう。例えば、サイトのアドレスの先頭2文字を使うということです。

Twitterなら、"tw"itter.com
Facebookなら、"fa"cebook.com
Evernoteなら、"ev"ernote.com

4)つなぐ

ここまでの3stepで作ったものをつなぐと8文字のパスワードが出来上がります。

spwa50tw : Twitter用のパスワード
spwa50fa : Facebook用のパスワード
spwa50ev : Evernote用のパスワード

それぞれ違うのは最後の2文字だけですが、仮にTwitterのパスワードが漏洩したとしても、Facebookにアクセスされることはありませんし、パスワードの漏洩が分かってから各サービスのパスワードを変更するまでの時間稼ぎは出来ますので、より安全と言えます。

5)アルファベットの大文字を含める

パスワードには、「アルファベットの大文字を含めなければならない」、これが条件になっているサービスもありますので、一文字でもいいので大文字を入れましょう。ただし、ここでもルールを決めます。

「先頭の一文字を大文字にする」これは覚えやすく、入力もしやすいルールです。多くの方は通常 "Caps Lock" をオフにしていると思いますので、大文字を入力するためにはSHIFTキーを押す必要があります。

先頭の一文字を大文字にするというのは、英文入力時に普通に行う操作なので、入力しやすさという意味でもなじみやすいと思います。

Spwa50tw : Twitter用のパスワード
Spwa50fa : Facebook用のパスワード
Spwa50ev : Evernote用のパスワード

それではちょっとひねりが足りない、心配だということであれば、「サービスごとに違う部分を大文字にする」というのもいいかもしれません。

spwa50TW : Twitter用のパスワード
spwa50FA : Facebook用のパスワード
spwa50EV : Evernote用のパスワード

6)定期的に更新する。

自分のパスワードが完成したので、定期的に更新しましょう。といっても、毎回全部を変更するのは手間が掛かりますし、覚えるのも大変なので、Step2で決めた数字の部分を、新しいパスワードを作成した日付で計算し直して、新しいものに置き換えるだけでいいでしょう。そして、たまに全体のルールを見直してやればより安全になります。

●自分だけのオリジナルルールを作りましょう。

ここまでで作ったパスワードは意味のない文字列ですが、一定のルールで作ったものですので、覚えやすいと感じていただけたのではないでしょうか?

これらのルールはあくまでも一つの例ですので、順序を入れ替えたり、文字数の配分を変えるなど、自分が扱いやすいルールを決めていただければいいかなと思います。

ただし、IDやパスワードに数字で始まる文字列を使えないケースもありますので、先頭はアルファベットで始まるようにしましょう。

【若林健一 / kwaka1208】 kwaka1208@pote2.net
Take IT Easy! - 人にやさしいIT
< http://kwaka1208.net/ >
< https://www.facebook.com/kwaka1208net/ >