ブログアカウントやメールアカウントのパスワードなど特定されると取り返しのつかない事になってしまうパスワード。
しっかりと強力なパスワードを設定しているでしょうか。
- 特定されにくい難しいパスワードを設定したいけど覚えられない
- 毎回パスワードの入力に時間がかかってしまう
こういう方も結構いるかと思います。
そこでこの記事では、
- パスワードに関する間違った認識
- 強力で覚えやすいパスワードを考えるコツ・テクニック
それぞれ順番に解説していきます。
パスワードの間違った認識
ランダムなアルファベットなら何でもいいわけではない
適当に「ecuiobrevoubrv」のような規則性が全くないパスワードであれば問題ありません。桁数が十分であれば特定されることはほとんどないでしょう。
ですが「qwertyuiop」みたいなランダムに見えて規則性のあるパスワードの危険です。
上記パスワードは一見すると規則性がないように見えますが、実はキーボードの二段目を左から順番に入力しているだけです。
こういう規則性のあるパスワードは真っ先に突破されて不正ログインされてしまうため絶対にやってはいけないパスワードです。
定期的に変更するのはリスクが高い
ネット銀行など一部のサービスでは一定期間経つとパスワードの変更を要求されることがあります。ですが、パスワードは本来変更すべきではありません。
パスワードを何回も変更するようにすると、最初のうちは難しくて覚えづらいことをしていたとしても、次第に自分が覚えやすくて楽に入力できるパスワードに変わっていきます。
自分が覚えやすくて単純なパスワードということ特性されやすいパスワードということになり非常に危険です。だからといって複雑なパスワードにすると今どのパスワードを使っているのかわからなくなってしまい、かえって不便になってしまうこともあるでしょう。
そのためパスワードの変更を求められてもパスワードを変更せずにそのままにしておくことがおすすめです。
総務省の安全なパスワード管理に関するセキュリティサイトでもパスワードの定期的な変更は不要と案内しています。
なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。
安全なパスワード管理 – 総務省
定期的にパスワードを変更している方の場合、「長期間パスワードが変更されてしません」というフィッシングメールに騙されてパスワードを入力してしまい、そのままアカウントを盗まれる可能性があります。
パスワードを変更するのは強力なパスワードに変更したい場合のみにしてください。
安全なパスワードを考える5つのポイント
安全なパスワードの考え方は総務省が発表しています。
- 名前などの個人情報からは推測できないこと
- 英単語などをそのまま使用しないこと
- アルファベットと数字が混在していること
- 適切な長さの文字列であること
- 類推しやすい並び方やその安易な組み合わせにしないこと
名前などの個人情報からは推測できないこと
名前などのわかりやすい個人情報をパスワードにすることはやめましょう。
人の名前のパターンはランダムなパスワードを比べるとパターンが非常に少ないため、ブルートフォースアタックで簡単に突破されてしまいます。
また、身近にいる人にバレやすいため名前や自分の住所など個人情報と関連付いているパスワードはやめておきましょう。
英単語などをそのまま使用しないこと
英単語をそのまま使用することはやめましょう。「tennis」など英単語一つそのままパスワードにすることは絶対にNGです。パスワードを特定するプログラムを使えば1分もかからずに特定される可能性があります。
3単語以上の組み合わせなら強力
基本的には英単語をそのまま使用することは NG ですが、「canfoodwater」のように3単語以上の英単語を組み合わせると特定が一気に難しくなります。
英単語の間に適当な数字を入れておくとなお強いでしょう。誕生日が7月15日なら「can7food15water」みたいにすれば文字数も多くなり、機械的に特定されることはほぼ不可能になります。
アルファベットと数字が混在していること
パスワードはアルファベットと数字を混在させることでかなり強くなります。「akd123go60」のように自分には分かるけど他の人からすると何をどう特定すればいいのかわかりません。
適当に数字を挟むだけでもかなり強くなるので、アルファベットのみのパスワードを使っている方は数字も混ぜておくことをおすすめします。
適切な長さの文字列であること
だいたい12文字以上であれば強力なパスワードになりやすいです。「1234567890abc」みたいな誰がどう見ても単純なパスワードだとどれだけ文字数が多くても関係ありませんが、工夫して考えたパスワード(英数字混合など)であれば12文字以上で特定が難しくなります。
筆者個人の理想は16文字以上です。パスワード攻撃で特定されて不正ログインされた経験は一度もないため、可能であれば16文字以上にしておくべきです。
自分が覚えやすくてバレないパスワードの作成方法
パスワードを複雑にするだけであれば簡単です。何も考えずにキーボードに手のひらを乗せて無作為に入力すれば一発です。
ですがそれでは自分が覚えやすいパスワードとは言えません。何回もパスワード入力していても覚えるかもしれませんが、すぐに覚えることができないでしょう。
そこで、
- 自分でパスワードを覚えられる
- 他人にパスワードを特定されない
2つの条件を満たしたパスワードの考え方を解説します。
12桁以上にする
パスワードは最低でも12桁以上にしましょう。パスワードの文字数は多ければ多いほど特定されにくくなりますが、基本的には16文字以内に収めることをおすすめします。
サービスによっては最大16桁しかパスワードを設定できないことがあります。そのため複雑なパスワードを一つ作って使い回すことを考えている場合は12桁以上16桁以下のパスワードにしておくといいでしょう。
3つ以上の英単語を組み合わせる
英単語をそのまま使うのはあまり良くないといいますが、複数の英単語を組み合わせると話は変わってきます。3つ以上の英単語を組み合わせると特定がかなり難しくなり、自動プログラムを使っても特定に数年~数百万年以上かかるレベルのパスワードを生み出すことが可能です。
簡単に例えると「ヒント無しで隠された漢字3文字を当ててください」といっているようなものです。そのため複数の英単語を組み合わせるということはパスワード作成においてかなり有効なテクニックなのです。
英単語の間に数字を入れる
これについては既に触れていますが、パスワードに使用する英単語の間に適当な数字を入れておくと一気に特定されにくくなります。そのため強力なパスワードを考える上では必須のテクニックです。
パスワードが強力かどうか調べる方法
考えついたパスワードが強力かどうか調べる場合は、セキュリティソフトで有名なカスペルスキーのパスワードチェッカーを使いましょう。
こちらのパスワードチェッカーに思いついたパスワードを入力すると、解読までにかかる時間や過去に情報漏えいしたパスワードかどうか表示されます。
こちらはランダムな数字8桁をチェックした結果です。数字8桁だとパターンが1億通りもあるわけですが、1億もあるにもかかわらず4時間程度で解読されてしまうことを確認できます。
さらにこちらは「1234509876」という数字10桁のパスワードをチェックした結果です。
何らかの規則があるパスワードはどこかの誰かが必ず使っており、過去に漏洩したことがあるパスワードの可能性も高いです。
ですが英単語3つと間に数字を挟んだパスワードを試してみましょう。まずは「yes we can」という有名なフレーズでパスワードとして使われやすい(特定されやすい)フレーズに数字を混ぜた「yes1we2can」という超シンプルなパスワードを調べてみました。
ものすごく単純に見えるパスワードもプログラムで解読しようと思うとかなり長い期間必要になることが分かるはずです。では数字を1つ足して「yes10we2can」としてみましょう。
たった数字一桁増やしただけで解読までにかかる期間が4ヵ月から4年になりました。人の目から見るとシンプルに見えるパスワードも、機械からするとものすごく複雑なパスワードなのです。
こういった「3つ以上の英単語と数字を組み合わせるパスワード」は理にかなった最高のアイデアと言えるでしょう。
メモを残さなくても覚えられる強力なパスワード
メモをしなくても覚えられるのに、ものすごく強力なパスワードというとそんなものを考えるのは難しいと思うかもしれませんが、先ほど解説した英単語と数字を組み合わせる方法を使えば簡単です。
パッと思いついた英単語を三つほど並べてその間に数字をはさめばいいだけなので、すぐに覚えられるでしょう。
強力なパスワードを設定することはメリットしか無いので、数字だけのパスワードを使っている方や桁数が少ないパスワードを使っている方は、忘れないうちに強力なパスワードの変更をしておくと良いでしょう。
