「強い」パスワードの簡単な作り方
では、どうしたら、被害を最小限に食い止めることができるのでしょうか。ポイントは2つあります。ブルートフォース、辞書攻撃などでも破られにくい、「強い」パスワードを作ること、そして、繰り返しになりますが、同じパスワードを使いまわさないことです。
では、「強い」パスワードとは、どんなものなのでしょうか。
ネットセキュリティについて、国内外の多くの専門家が参照しているであろうドキュメントの1つに、アメリカ国立標準技術研究所(NIST)が公表しているガイドラインがあります。一般のユーザーに向けたものではなく、ネットのサービスを提供する側に向けたものですが、そのサービスを利用する側の私たちが何をするべきか、また、何ができるのかを知る参考になります。
このガイドラインでは、ネットのサービスでユーザーにパスワードの設定を求める場合「パスワードは8文字以上で64文字以上のものも受け入れるようにすべき」としています。さらに、「記号などを含む複雑なパスワードを強制すべきではない」とも言っています。
つまり「複雑さ」より「長さ」。覚えにくい複雑なパスワードよりも、文字数が多く長いパスワードの方が記憶しやすく、強固だといえるでしょう。
ブルートフォース(総当たり)攻撃のところで説明した通り、もしパスワードが4ケタの数字であればパターンは1万通りですが、5ケタだと00000から99999まで10万通りになります。ケタが多ければ多いほど、パターンが増えるので当たる確率が下がります。文字数は、長ければ長いほど「強いパスワード」になるのです。8文字以上で、できる限り長いものを設定しましょう。
でも、ランダムな長い文字列なんて、誰も覚えられません。ですから「そもそも自分が覚えているフレーズ」をパスワードにすることをお勧めします。たとえば、好きな本の書き出しや好きな曲の歌詞を組み合わせます。特定の本の書き出しだけだと、辞書攻撃の辞書に載っている可能性があるので、異なる複数の本の書き出しを組み合わせる、好きな曲の歌詞をまぜるなど、工夫するといいでしょう。
僕のオカンにもできる簡単で最強のやり方
でも、人間の記憶には限界がありますから、すべてを覚えようとしない方がいい。多くの人は、20以上のIDとパスワードがあるでしょうから、同じものを使いまわししないとなると、20パターン以上のパスワードが必要になります。そんなに記憶するのは難しいでしょう。
ではどうしたらいいか。僕はこういう場合、「うちのオカンでもできるやり方か?」と考えます。パスワード管理のための良いソフトはたくさん出ていますが、多分うちのオカンには使えません。
オカンでもできる簡単で最強の方法は、「紙に書くこと」です。
そう言うと「パスワードを紙に書いてもいいんですか?」と言われます。
いいんです!
ダメなのは、紙に書いて、パソコンに貼っておくなど、第三者に容易に見られる状態にすること。誰かに見られるかもしれないし、盗まれたり、失くしたりするリスクがあるからです。
手帳に書いたり、名刺サイズの紙に書いて財布に入れるなど、自分が常に手元に置いているもので管理しましょう。
ただし紙の場合、落として誰かに拾われたりする可能性があります。その対策として、「割符」のように、パスワードの最初と最後は書かないでおくとよいでしょう。たとえば、私の誕生日は7月1日なのですが、パスワードは「7tonneruwonukerutosokohayukigunidatta+saitasaita1」と設定しておき、紙には最初の7と最後の1を抜かした「tonnneruwonukerutosokohayukigunidatta+saitasaita」しか書かない。家にペットが2匹いるなら、最初に1匹の名前、最後にもう1匹の名前にしてもいい。数字でもアルファベットでもよいのですが、自分の覚えられるものを共通でつけて、そこだけ抜いておけば、人に見られても問題ありません。
それぞれのパスワードに対応するWebサイト名を、自分にしかわからない暗号のようにして書いたり、そもそも書かないでおくなどの工夫も必要です。
