安全なパスワードと作成する方法
なんでもかんでもパスワードが必要な時代
パソコンやスマホで何かしようとすると、やたらとIDパスワードの登録を求められます。
パソコンやスマホを買ったら、まずはマイクロソフトアカウント、Googleアカウント、AppleID。
情報を集めようとするとYahooアカウント。
パソコンを持っていなくても、電気代や固定電話の料金は紙の請求書を廃止する(発行するけど有料になるとか)のでIDパスワードを登録をしてくれ!マイナンバーカードを作るにも、運転免許証までもパスワードを登録しろ!といわれます。カード会社やペイチャなどの電子マネーもすべてパスワード登録が必要。ふぅ..(ため息)
とにかくたくさんのIDとパスワードを登録し管理しなければなりません。たくさんすぎて何にどのIDパスワードを登録したのか、さっぱりわからなくなってしまいます。
しかも短いものはダメ!とか、記号やアルファベットの大文字と小文字を混ぜろ!とか、定期的に変更しろ!とか、いろいろ注文をつけらます。
最近このような条件を求められることが増えてきました。
「12桁以上で数字とアルファベットの大文字小文字と記号を使ってください」
パスワードを決める(作る?)のもたいへん。もうたまらんです... ね。
現在、IPA(経済産業省の外郭団体で情報セキュリティの指針や啓もう活動を行っている組織)では、
「できるだけ長く」「複雑で」「使い回さない」を推奨しています。そのため、短いものはダメ!とか記号を混ぜろ!とかいう話になっているのです。(ちなみに現在は定期的に変更することは推奨されていません。定期的に変更するよりも、長く複雑なしっかりしたものを長期間使ったほうがいいということです。)
なぜ面倒な文字列を求められるのか?
さて、悪いヤツがあなたのパスワードを破ろうとしていうとします。
どのような手口で仕掛けてくるでしょうか?
大きく2つの方法で仕掛けてきます。
1つめは総当たり攻撃。力まかせ攻撃ともいわれます。これは考えられるすべてのパスワードを手当たり次第に試してくる方法。
もう一つはソーシャルエンジニアリングといわれる方法。これはいろんなやりかたでパスワード自体を盗み出す方法です。
今回は総当たり攻撃に強いパスワードについて考えてみましょう。
総当たり攻撃は、考えられるすべてのパスワードを手当たり次第に試してくる手法です。
例えば、数字8桁の場合00000000~99999999の1億とおりの数字を全部試してきます。もちろんコンピュータで全自動でやってきます。数字だけのパスワードは8桁の場合ですと1秒以下で解読されるといわれております。
同じ8桁でも数字とアルファベットの大文字、小文字を使うと解読に約1時間かかるになるといわれております。
しかし、アルファベットのパスワードを使う場合に注意しないといけないことがあります。
辞書に載っている単語の組み合わせやよく使われているパスワードのリストを使って、総当たり攻撃をする手法で「辞書攻撃」といわれる方法があります。単語だけや簡単な単語の組み合わせは危険です。
ちなみにパスワードでよく使われている単語を紹介しておきます。よく使われているということを悪い人たちも知っているので、まずはそれから試してきます。そのままの文字列で使わないようにしましょう。
password
使いたくなる気持ちはわかりますが、よく使われているリストの1位ですので絶対やばいです。
baseball
スポーツ名は数多くランクインしています。
monkey
その他の動物も多くランクインしてます。
superman
batmanもランクインしていました。
覚えやすい言葉は、推測されやすい言葉です。そのまま使わないようにしましょう。
ところで、数字+アルファベット大文字小文字だと約1時間で解読されますが、それに!や#などの記号を加えると解読時間はどのくらいの長さになると思いますか?
答えは8時間程度。かなり違ってきます。さらに8桁より長い桁数にするとどのようになるかを表にまとめておきます。
長さ | 数字 | 英大小文字 | 数字+英大小 | 数字+英大小+記号 |
8桁 | 1秒以下 | 22分 | 1時間 | 8時間 |
10桁 | 1秒以下 | 1ヵ月 | 7ヵ月 | 5年 |
12桁 | 25秒 | 300年 | 2,000年 | 34,000年 |
泥棒が入りやすい家は、鍵のかかっていない家や鍵を開けやすい家ですね。侵入に時間を要す家は嫌がられます。別の侵入しやすい家を狙ったほうが効率が良いからです。
パスワードの場合も同じで、破りやすいパスワードのところを見つけて破ってきます。そして悪さをします。破りにくいパスワードですとさっさとあきらめて他を狙います。時間をかけて破るより、次を狙ったほうが効率が良いからです。ただし、どうしてもあなたを狙いたい場合は別です。ふつうの個人でそこまで狙われる人はあまりいないと思います。
安全なパスワードの作り方
パスワードは長くて意味のない文字列で英数記号などいろんな文字種を混ぜたほうが安全なのはわかりました。
「しかし、そんなのどうやって作るの?作っても、覚えきらんし!」
はいはい。それではパスワードの作り方をご紹介しましょう。
ちょっと長めで、意味のない言葉で、数字と英大小文字と記号を使って、しかも忘れたときは同じものを作成できる方法です。これをヒントに自分なりの方法を考えていただくといいでしょう。
1. 短い文を作ろう!
作ろう!と書きましたが、別に新たなものを作成する必要ありません。自分についてや家族について、好きな歌の歌詞やことわざなど、頭に残る文ならなんでも良いです。コツは忘れにくいものであること。
例として、コネコスのホームページの冒頭に記載している文言を使ってパスワードを作成してみます。
学ぶたのしさ、活かすよろこび
※現在のトップページは「わかる喜び、活かす楽しさ」に変更しています。
2. 単語の頭だけを大文字にしてローマ字にしてみよう!
キーボードの入力をローマ字で行う方は、特に難しくないと思います。
単語の頭文字だけを大文字にします。
学ぶたのしさ 活かすよろこび
ManabuTanosisaIkasuYorokobi
3. 意味の分からない文字列に変化させよう!
母音(aiueo)をすべて外してみます。(子音だけにする)
MnbTnssksYrkb
13桁の意味のわからない文字列になりました。
4. 数字を加えてみよう!
好きな数字をいくつか決めてください。覚えやすいものなら何でもいいです。
コネコスの住所は朝日ヶ丘3-28ですので2と8を使ってみます。
文節のわかりやすいところ
「学ぶたのしさ●活かすよろこび●」
●にあたるところに数値を入れます。
MnbTnss2ksYrkb8
5. いくつか記号に置き換えてできあがり!
sはなんとなく$に似ているので、sを$に置き換えます。理由はなんとなく似ているから。
MnbTn$$2k$Yrkb8
意味をなさない文字列の15桁のパスワードのできあがり!
でも、作った人は、しっかり意味を知っているのです。
記号や他の文字への置き換え例を紹介しておきます。理由はなんとなく似ていること。作った本人だけがわかれば良いのです。
a→@
o→0(ゼロ)
z→2
b→6
i→!
パスワードをメモしない 作り方をメモる
パスワードを忘れても、作り方を覚えていれば大丈夫。
パスワード自体をメモしておくよりも、作り方を自分だけが分かる手順でメモしておくのが良いでしょう。
《今回の作り方のメモ例》
キャッチ、母の番地、シンガポールドル
他の人が見たら意味不明。これ自体が暗号ですね。(笑)
でも、作った本人が「あぁぁ・・ そうやった・・」と思い出すことができたらOK。
作った私には、「キャッチコピーの母音なし、数字は番地、sがドル」これをヒントに同じパスワードをもう一度作成することができます。
推理小説の謎解きのようですが、自分だけわかれば良いのです。他人にはわからないほうが良い。
パスワード自体のメモはありませんので、メモからパスワードが漏洩するリスクもありません。
めんどうなパスワードですが、楽しみながら作ってみましょう。