セキュリティ事件簿

【また忘れたの?】安全で覚えやすいパスワードの作り方3ステップ

パスワードって覚えられないですよね?

ついつい忘れてしまって何度も再設定したり、覚えられなくて簡単なものにしたり、いつも同じ決まり文句をつけてしまったりしていませんか?
良いパスワードとは、覚えやすくて長くて複雑で使い回されていないものです。

なんか矛盾してない?長くて複雑なものは使い回さなかったら覚えられないよ〜

そんなことありません!
そう勘違いして安易なパスワードを使い続けていると、不正アクセスの被害にあってしまうかもしれません。


この記事では、安全で忘れないパスワードの筋の良い考え方を
専門家の観点から3ステップでお伝えします。

こんな悩みに役立つ
  • パスワードが覚えられない
  • パスワードを考えろって言われたけど、どうしたらいいかわからない
  • パスワードの使い回しはダメって知ってはいるが、ついついやってしまう

良いパスワードの条件

まず、この記事でいう「良いパスワード」とは
以下の3つの要素を全て同時に満たすものを言います。

  • 覚えやすい
  • 長くて複雑
  • 使いまわしをしていない

覚えやすい

せっかく作っても忘れてしまったら意味がありませんし、使い勝手もよくありません。
自分で覚えていられるということが重要です。

長くて複雑

安全なパスワードには、ある一定以上の長さが必要です。(できれば10文字以上と言われています)


また、使っているサービスによっては数字や記号などを混ぜ込まないと
パスワードが登録できないこともあるので、その条件をクリアしないと使えません。

使いまわしていない

どんなに長くて複雑なパスワードを使っていても
複数のサイトで同じものを使っていたら、まったく意味がありません。

どこかのサイトで漏えいしたパスワードを悪用して別のサイトを攻撃する
「リスト型攻撃」というサイバー攻撃の手法があるからです。

そんなこと言われても、パスワードはなるべく短く単純にしないと覚えられないわ

それは大きな誤解だよ〜〜!

例えば下の2つの文章では、どちらが長く覚えていられると思いますか?

①ぶてぁろほぱゆつ(←特に意味のないひらがなの羅列)

②今日のおやつはホットケーキです(←意味のある文章)

覚えやすいのは②だなあ

そうですね、多くの方が②だと答えるのではないでしょうか。

しかし、①よりも②のほうが
文字列の長さは長いですし、漢字も数字も入っていて複雑
です。
これはなぜでしょうか?

語呂合わせなどに代表されるように
人間は、関連付けられた情報のほうが楽に覚えられるし、忘れにくい
ということがわかっています。

この人間の脳の特性をうまく使うことで
「パスワードは短くて単純なほど覚えやすい、だから簡単なパスワードをつける」
という安易な考え方から脱却できるようになります。

安全で覚えやすいパスワードの考え方 3ステップ

では安全で覚えやすいパスワードを一緒に考えていきましょう
3ステップで簡単にできますよ。

STEP1 既に知っている文章をモトにする

まず、パスワードは忘れにくいことが重要なので
自分がもともと知っている文章を利用して考えていきます。

知っている文章ってどういうこと?

たとえば、こんなものです

  • 自分が好きな歌の歌詞の一部
  • 一番好きな漫画やアニメのセリフ
  • 好きな偉人の言葉
  • 語呂合わせ(鳴くよウグイス平安京 など)

どうでしょうか?
わざわざ新しく記憶しなくても、既に覚えている言葉や文章というものが
誰にでもあると思います。
その中から、特にお気に入りの一つを選びましょう。

今回は例として、私が好きな明石家さんまさんの言葉から

生きてるだけで丸儲け

を使いたいと思います。

いい言葉だね〜

皆さんは、それぞれ自分の好きな言葉(文章)を選んでくださいね!

決めた言葉をそのままローマ字にする

次に、この言葉をそのままローマ字にします

ikiterudakedemarumouke

これだけで22文字のかなり長い文字列ができますね。
これをパスワードのモトとして、さらに強くて使いやすいパスワードに整えていきます

元となる言葉選びにはできるだけ日本語を選ぶのがコツです。

理由としては、悪玉ハッカーが不正アクセスを行うために使っている
データベース(辞書と呼ばれます)に登録されている単語は
英語や、それに準ずる言語のことばが圧倒的に多いからです。
日本語を使うだけで簡単に安全なパスワードに近づきますので、使わないのは損ですよ。

このように、長い文章を元にしたパスワードのことは
とりわけ「パスフレーズ」と呼ばれることがあります。

長いパスワードが有効とされる理由は単純だ。長ければ長いほど、破るために要する時間と労力が増える。Newsweekが専門家の話として伝えたところによると、例えば7文字のパスワードなら、ハッキングソフトウェアを使ってわずか0.29ミリ秒で破られる。これが12文字になると200年近くかかる計算。そして24文字になると1800万年以上かかるという。

https://www.itmedia.co.jp/news/articles/2003/02/news061.html

STEP2 数字を混ぜる

多くのWEBサイトでは、アルファベットだけのパスワードは
使えないことが多いです。

数字や記号で文字の種類を増やすことをパスワードの「複雑化」って言うよ。
最近では複雑さよりも長さの方が大事って言われてるんだけどね…

そこで、先程のパスワードのモトになる文字列を文節に分けます

ikiteru   dakede    marumouke

そのスキマに好きな数字を混ぜていきます
数字は何でも構いません。

ikiteru 7 dakede 7 marumouke

こんな感じです。

文節に切るのが難しい、よくわからない、という場合は
前と後ろに数字をつける、などでも良い
と思います

その場合はこんな感じ

1 ikiterudakedemarumouke 0

これで24桁のかなり丈夫なパスワードのモトになってきました。

これで完成だね?

これだけだとまだ足りないことがあるんだ〜もうちょっとがんばって!

STEP3 サイトを示す識別子をつける

まだ何かするの〜?

どんなに丈夫なパスワードを考えても
複数のサイトで同じパスワード使いまわしをしていたら意味がありません。

ギクッ

複数のWEBサイトでパスワードの使いまわしをしてしまうと
その中の一つのサイトでセキュリティ事故があって、自分のパスワードが漏えいしたときに
同じパスワードを使っている全てのサイトが危険にさられされてしまいます。

どんなサイトにもリスクはあるんだ。どんなに気をつけていても防ぎきれるわけではないんだよ。

このような二次被害を防ぐために
全く同じパスワードを設定するサイトがないようにするのが重要です。

そんなことできないよ。何個あると思ってるの?

大丈夫です。ここでは、ルールを決めてパスワードの一部を変化させていくことで
そのサイト固有のパスワードに仕上げていくやり方を説明します。

パスワードの一部をルールに従って変化させていく

STEP2までにつくったパスワードのモトを使います

ikiteru7dakede7marumouke

その後ろに、好きな記号とそのサイトを示す識別子を付けるルールにします。

たとえば、こんなルールです

  • 使う記号を「!」と決める
  • 使うサービスの名前の最初の三文字をつける

その結果、こんなパスワードができあがります

Twitter用なら
ikiteru7dakede7marumouke!twi

Google用なら
ikiteru7dakede7marumouke!goo

Instagram用なら
ikiteru7dakede7marumouke!ins

…と、こんな感じです。
青い部分が共通黄色い部分がそのサイト固有の部分になります。
サイトごとにまったく別のパスワードを考えなくても、このように部分的に変化させることで、同じパスワードの使いまわしを防ぐことができます。

もちろん後ろじゃなくて前に付けてもいいよ!

パスワードによく使われる記号
!” # $ % & ‘ ( ) * + , – . / : ; < = > ? @

大事なことは、パスワードのモトを使った上で
自分でルールを決めて、そのルールの通りに
各サイトで別々のパスワードを設定すること
です。

こうすることで、パスワードの使いまわしを防ぎ
最初にお伝えした良いパスワードの3要素をすべて満たすことができます。

(おさらい)良いパスワードの3要素

  • 覚えやすい
  • 長くて複雑
  • 使いまわしをしていない

これでバッチリ!

作ったパスワードの強度を確認してみよう

今までご紹介した手順で作ったパスワードなら、かなり強固なものが出来上がっているはずです。
パスワードの強度を計測してくれるサイトがありますので
念の為確認してみましょう。

さっき作ったtwitter用パスワードを入力してみます

ikiteru7dakede7marumouke!twi

いいパスワードです!と表示されました。
このパスワードを解読するまでには10000世紀以上かかるそうです

そんなに長生きできるかな〜

けっこう難しいと思います(笑)
なので、このパスワードの強度は十分だということになります。

わざと弱いパスワードを入力してみる

たとえば、よく使われるパスワードとして有名な

p@ssw0rd

という文字列を試してみました。

この文字列はアルファベット、数字、記号を全て混ぜていて一見複雑なものですが
1秒で解読されてしまうことがわかります。

パスワードは長くて、使い回しのないものを使うことが大事だということがわかったよ

そもそもパスワードを自分で考えたり覚えたりする必要はない?!

ここまでで、筋の良いパスワードの考え方をお話しました。

でも、ここ最近は

  • パスワードマネージャー
  • パスワード管理ツール

と呼ばれるものを使うことで
それぞれのサイトのパスワードを自分で考えたり覚えたりする必要がなくなってきています

こういったものを積極的に活用していくのも良い方法ですね。

ツールを使わなくてもこの記事のやり方をきちんと守れば十分安全だよ!でもツールに任せると楽になることも確かだね。

使うかどうか、自分で判断することが大事なんだね

まとめ

  • 良いパスワードの条件は以下の3つを同時に満たすこと
    • 忘れにくい
    • 長くて複雑
    • 使いまわしていない
  • 良いパスワードの考え方 3ステップ
    1. 既に知っている情報をモトにする
    2. 数字を混ぜる
    3. サイトごとに別の識別子をつける
  • パスワードに重要なのは複雑さより長さ
  • ツールを使うことでパスワードを自分で覚える必要がなくなってきている

少しでもお役に立てれば嬉しいです。では今回はこのへんで。

こちらの記事もおすすめ