意外と難しい、安心パスワードの作り方
123456はかなり危険です
今回はパスワード作成の理論を整理した上で、実際にどのように作成すれば良いのかを考えてみましょう。
パスワード作成の基本ルール
基本ルールその1:意味を持たない文字列でつくる2016年5月に長澤まさみさんといった芸能人のFacebookに不正アクセスしたとして男性が逮捕され、大きく報道されました。誕生日などの情報を元に、IDとパスワードを推測し、不正アクセスしていたそうです。約1000人分のパスワードを保存していました。
昔から、パスワードに自分の名前や誕生日を使うのはNGなんて言いますし、1234やabcdといった単純な羅列、辞書にある単語なんかもNGと言われています。そのようなNGと言われるパスワードは覚えやすい反面で、突破されてしまう事件が昔から実際に起きています。
パスワードは意味を持たないランダムな大小英数字及び、「@」「%」など記号の並びで作りましょう。
「_at@*pR4Se7=」みたいな複雑なパスワードの作り方としては、私はパスワード生成サイトを使っています。セキュリティソフトのノートンのWEBサイト「安全でセキュアなパスワードを作成 - パスワードジェネレータ | ノートン ID セーフ」がおすすめです。
複雑なパスワードが簡単に作成できます
その他には、好きなフレーズやことば遊びをベースにして覚えやすいパスワードを作るという方法があります。例えば、宮沢賢治の詩「雨にも負けず、風にも負けず」をベースにする場合です。「a」m「e」n「i」momakezu「、」「k」a「z」e「n」imomakezuから、「aei,kzn」をピックアップし、好きな数字をプラスします。さらに大文字に変換して「Aei,kzN8」が完成です。このような自分流の変換ルールを決めておき、ベースとなる語句を変換するのがポイントです。
同じ方程式で田中正造の名言「真の文明は、山を荒らさず」を変換すれば他のサイト用にパスワードが作れ、「Facebookは宮沢賢治、Twitterは田中正造」みたいなメモを残しておけばパスワードを忘れることがないでしょう。
基本ルールその2:12桁以上が望ましい
パスワードは最低でも8文字以上といわれていますが、一般的に、12桁までいくと安心レベルと考えられています。12桁でつくっておけば、パスワード解析の確率としては兆や京を軽く超えちゃいます。
基本ルールその3:サービスごとにパスワードを使いまわさない
パスワードの使い回しによる不正アクセス事件が多発しています。サービスごとに異なるパスワードを設けることも最低限のルールです。
2段階認証(2要素認証)を利用しよう
12桁の複雑なパスワードでも突破されてしまう可能性だけは残ります。たとえば「自分のメールアドレスが流出していないか確かめる方法」でも取り上げましたが、WEBサービス運営側が不正アクセスに遭い、パスワードを記録しているデータベースが漏えいしたという事件が発生しています。通常、パスワードは計算結果を保存するため、データベースが漏えいしてもイコールパスワード漏えいではありません。それでも解析されてしまうのは時間の問題です。事件発生から、事件が発覚しユーザーがパスワードを変更するまでに数ケ月くらいはタイムラグがあるでしょうから、その期間内では解析できない強度が必要になります。パスワードの桁数が大きいと強度が高まるため、12桁などできる限り大きくしたほうが安心です。
ところが、解析されるされないの実際は、計算方法がミソだったりします。計算方法はいろいろとあり、セキュリティレベルが大きく異なります。パスワードの桁数が大きくても運営側が採用する計算方法によっては短時間で解析できてしまう可能性があります。
このようにパスワードの強度だけを求めても越えられない壁が出てきます。そこで大切なことは、サービス運営側からの連絡(メールなど)がきちんと確認できるようにしておくことです。もしデータベース漏えいなどの緊急連絡があればすぐにパスワードを変更しましょう。パスワードの理想を追求すると終わりがなくなってしまいますが、実際に起きている事件から考えれば、ここまでの対策で最低限を十分クリアできています。
それでも乗っ取りが心配というアカウントは、2段階認証(2要素認証)というサービスをプラスすると安心です。2段階認証とは、パスワードの他にも本人確認方法を持つ対策です。FacebookやLINEなどメジャーなSNSは採用していて、SMSやスマホのアプリに届いた認証番号をパスワードと別に入力したり、登録したデバイスからのみログインできたりします。これであれば万が一、パスワードが漏えいしてもアカウントがすぐに乗っ取られることはないでしょう。クレジットカードを登録するような、Amazon、Apple ID、Google Playでも2段階認証が提供されています。
なお、ログイン履歴が表示されたり、異なるデバイスからログインがあるとメールが届くなど、アカウントを守るために、本人確認とは違うパスワードの補強策が提供されている場合もあります。そのようなオプションも利用しておきたいですね。
パスワードの注意点
パスワードを強化するためのセキュリティ対策であっても「仕組みを理解せず」に使ってしまうと、むしろアカウントを乗っ取られる弱点になってしまうという事件も起きています。アカウント登録時などに注意書きがあれば、しっかりと理解しておきたいところです。「秘密の質問」の答えがバレバレ?
本人確認方法と言えば、パスワードを忘れた時のための「秘密の質問」もあります。「ペットの名前」などの質問に事前に答えておき、パスワードを忘れてしまったときの本人確認で使います。うっかりSNSなどで「ペットのポチと」なんて写真をアップしていませんか?
PINコードを教えてはいけない
LINEアカウントは2段階認証になっていますが、実際に乗っ取り事件が起きています。「四桁のPINコードが届いたら送って」という詐欺のトークに答えて、2段階認証を教えてしまったという事件です。
パソコンでパスワードを使うなら……
WEBで使うパスワードであれば2段階認証も含めて運営側からさまざまな不正アクセス対策が提供されていますが、パソコンに保存しているパスワードは自分の力だけで守ることになります。もし家族や恋人、友人に見られると困るというデータにパスワードを設けている場合は、中途半端なパスワードでは無意味です。エクセルやzipファイルはパスワードでロックすることができますが……、パスワードを突破するフリーソフトが簡単に入手できます。
またWindowsログインパスワードを設けてアカウント内のデータを守っている場合は、物理的な接触さえできれば(そのパソコンを手にとれる環境であれば)、分レベルで突破できてしまいます。Windows標準のメンテナンスツールを悪用すると、10分もあればパスワードを変更できたりしますし、パソコンを起動させなくても保存してあるデータを簡単にコピーできます。本来は起動トラブルのメンテナンスで使うものであり(有益な情報のため)、その方法はネット検索で調べることができます。
パソコン内に秘密にしたいデータがある場合は、12桁といった大きなパスワードで該当データを直にロックする必要があります。それでもエクセルのようにパスワードを解析するソフトがあると心配という方は、そのような解析ソフトが存在しない暗号化ソフトでファイルやフォルダ又は、アカウントごとロックすると安心です。生体認証と暗号化ソフトが標準搭載されているノートパソコンもありますので、パソコンを購入する時は検討したいですね。
【関連サイト】
・情報処理推進機構(IPA)の「チョコっとプラスパスワード」
【関連記事】
・流出させない!プロが実践するパスワードの管理術
