パスワードって覚えられないですよね?
ついつい忘れてしまって何度も再設定したり、覚えられなくて簡単なものにしたり、いつも同じ決まり文句をつけてしまったりしていませんか?
良いパスワードとは、覚えやすくて長くて複雑で使い回されていないものです。
そんなことありません!
そう勘違いして安易なパスワードを使い続けていると、不正アクセスの被害にあってしまうかもしれません。
この記事では、安全で忘れないパスワードの筋の良い考え方を
専門家の観点から3ステップでお伝えします。
- パスワードが覚えられない
- パスワードを考えろって言われたけど、どうしたらいいかわからない
- パスワードの使い回しはダメって知ってはいるが、ついついやってしまう
良いパスワードの条件
まず、この記事でいう「良いパスワード」とは
以下の3つの要素を全て同時に満たすものを言います。
- 覚えやすい
- 長くて複雑
- 使いまわしをしていない
覚えやすい
せっかく作っても忘れてしまったら意味がありませんし、使い勝手もよくありません。
自分で覚えていられるということが重要です。
長くて複雑
安全なパスワードには、ある一定以上の長さが必要です。(できれば10文字以上と言われています)
また、使っているサービスによっては数字や記号などを混ぜ込まないと
パスワードが登録できないこともあるので、その条件をクリアしないと使えません。
使いまわしていない
どんなに長くて複雑なパスワードを使っていても
複数のサイトで同じものを使っていたら、まったく意味がありません。
どこかのサイトで漏えいしたパスワードを悪用して別のサイトを攻撃する
「リスト型攻撃」というサイバー攻撃の手法があるからです。
例えば下の2つの文章では、どちらが長く覚えていられると思いますか?
①ぶてぁろほぱゆつ(←特に意味のないひらがなの羅列)
②今日のおやつはホットケーキです(←意味のある文章)
そうですね、多くの方が②だと答えるのではないでしょうか。
しかし、①よりも②のほうが
文字列の長さは長いですし、漢字も数字も入っていて複雑です。
これはなぜでしょうか?
語呂合わせなどに代表されるように
人間は、関連付けられた情報のほうが楽に覚えられるし、忘れにくい
ということがわかっています。
この人間の脳の特性をうまく使うことで
「パスワードは短くて単純なほど覚えやすい、だから簡単なパスワードをつける」
という安易な考え方から脱却できるようになります。
安全で覚えやすいパスワードの考え方 3ステップ
では安全で覚えやすいパスワードを一緒に考えていきましょう
3ステップで簡単にできますよ。
STEP1 既に知っている文章をモトにする
まず、パスワードは忘れにくいことが重要なので
自分がもともと知っている文章を利用して考えていきます。
たとえば、こんなものです
- 自分が好きな歌の歌詞の一部
- 一番好きな漫画やアニメのセリフ
- 好きな偉人の言葉
- 語呂合わせ(鳴くよウグイス平安京 など)
どうでしょうか?
わざわざ新しく記憶しなくても、既に覚えている言葉や文章というものが
誰にでもあると思います。
その中から、特にお気に入りの一つを選びましょう。
今回は例として、私が好きな明石家さんまさんの言葉から
生きてるだけで丸儲け
を使いたいと思います。
皆さんは、それぞれ自分の好きな言葉(文章)を選んでくださいね!
決めた言葉をそのままローマ字にする
次に、この言葉をそのままローマ字にします
ikiterudakedemarumouke
これだけで22文字のかなり長い文字列ができますね。
これをパスワードのモトとして、さらに強くて使いやすいパスワードに整えていきます
このように、長い文章を元にしたパスワードのことは
とりわけ「パスフレーズ」と呼ばれることがあります。
長いパスワードが有効とされる理由は単純だ。長ければ長いほど、破るために要する時間と労力が増える。Newsweekが専門家の話として伝えたところによると、例えば7文字のパスワードなら、ハッキングソフトウェアを使ってわずか0.29ミリ秒で破られる。これが12文字になると200年近くかかる計算。そして24文字になると1800万年以上かかるという。
https://www.itmedia.co.jp/news/articles/2003/02/news061.html
STEP2 数字を混ぜる
多くのWEBサイトでは、アルファベットだけのパスワードは
使えないことが多いです。
最近では複雑さよりも長さの方が大事って言われてるんだけどね…
そこで、先程のパスワードのモトになる文字列を文節に分けます
ikiteru dakede marumouke
そのスキマに好きな数字を混ぜていきます
数字は何でも構いません。
ikiteru 7 dakede 7 marumouke
こんな感じです。
文節に切るのが難しい、よくわからない、という場合は
前と後ろに数字をつける、などでも良いと思います
その場合はこんな感じ
1 ikiterudakedemarumouke 0
これで24桁のかなり丈夫なパスワードのモトになってきました。
STEP3 サイトを示す識別子をつける
どんなに丈夫なパスワードを考えても
複数のサイトで同じパスワード使いまわしをしていたら意味がありません。
複数のWEBサイトでパスワードの使いまわしをしてしまうと
その中の一つのサイトでセキュリティ事故があって、自分のパスワードが漏えいしたときに
同じパスワードを使っている全てのサイトが危険にさられされてしまいます。
このような二次被害を防ぐために
全く同じパスワードを設定するサイトがないようにするのが重要です。
大丈夫です。ここでは、ルールを決めてパスワードの一部を変化させていくことで
そのサイト固有のパスワードに仕上げていくやり方を説明します。
パスワードの一部をルールに従って変化させていく
STEP2までにつくったパスワードのモトを使います
ikiteru7dakede7marumouke
その後ろに、好きな記号とそのサイトを示す識別子を付けるルールにします。
たとえば、こんなルールです
- 使う記号を「!」と決める
- 使うサービスの名前の最初の三文字をつける
その結果、こんなパスワードができあがります
Twitter用なら
ikiteru7dakede7marumouke!twi
Google用なら
ikiteru7dakede7marumouke!goo
Instagram用なら
ikiteru7dakede7marumouke!ins
…と、こんな感じです。
青い部分が共通、黄色い部分がそのサイト固有の部分になります。
サイトごとにまったく別のパスワードを考えなくても、このように部分的に変化させることで、同じパスワードの使いまわしを防ぐことができます。
パスワードによく使われる記号
!” # $ % & ‘ ( ) * + , – . / : ; < = > ? @
大事なことは、パスワードのモトを使った上で
自分でルールを決めて、そのルールの通りに
各サイトで別々のパスワードを設定することです。
こうすることで、パスワードの使いまわしを防ぎ
最初にお伝えした良いパスワードの3要素をすべて満たすことができます。
作ったパスワードの強度を確認してみよう
今までご紹介した手順で作ったパスワードなら、かなり強固なものが出来上がっているはずです。
パスワードの強度を計測してくれるサイトがありますので
念の為確認してみましょう。
さっき作ったtwitter用パスワードを入力してみます
ikiteru7dakede7marumouke!twi
いいパスワードです!と表示されました。
このパスワードを解読するまでには10000世紀以上かかるそうです
けっこう難しいと思います(笑)
なので、このパスワードの強度は十分だということになります。
わざと弱いパスワードを入力してみる
たとえば、よく使われるパスワードとして有名な
p@ssw0rd
という文字列を試してみました。
この文字列はアルファベット、数字、記号を全て混ぜていて一見複雑なものですが
1秒で解読されてしまうことがわかります。
そもそもパスワードを自分で考えたり覚えたりする必要はない?!
ここまでで、筋の良いパスワードの考え方をお話しました。
でも、ここ最近は
- パスワードマネージャー
- パスワード管理ツール
と呼ばれるものを使うことで
それぞれのサイトのパスワードを自分で考えたり覚えたりする必要がなくなってきています。
こういったものを積極的に活用していくのも良い方法ですね。
まとめ
- 良いパスワードの条件は以下の3つを同時に満たすこと
- 忘れにくい
- 長くて複雑
- 使いまわしていない
- 良いパスワードの考え方 3ステップ
- 既に知っている情報をモトにする
- 数字を混ぜる
- サイトごとに別の識別子をつける
- パスワードに重要なのは複雑さより長さ
- ツールを使うことでパスワードを自分で覚える必要がなくなってきている
少しでもお役に立てれば嬉しいです。では今回はこのへんで。