不正ログインに負けない「絶対に忘れない」強固なパスワードを作る方法


ライフメディアへ登録

パスワードを共通にしてはいけない理由

インターネット上で様々なサイトを利用するときに困るのがパスワード管理の問題です。

利用している全てのサイトで共通のメールアドレスとパスワードを利用していると、万が一どこかのサイトで情報漏洩が発生してしまったときに、関連するサイトで不正ログインが行われてしまう可能性が極めて高くなってしまうからです。

そこで、当記事ではダメなパスワードと強固なパスワードの特徴を把握した上で、強固なパスワードの作り方を考えていきたいと思います。

なお、セキュリティ上のリスクを低くするためにはできるだけメールアドレスもサイトごとに使い分けた方が良いのですが、ここではそこまでは考慮しないことにします。

パスワードの良し悪し

ダメなパスワードの例

まず、ダメなパスワードについて確認します。

ダメなパスワードは「Passwords of 2015」としてランキングが公開されています。

Announcing Our Worst Passwords of 2015
https://www.teamsid.com/worst-passwords-2015/
※英語のサイトですが怪しいサイトではありません。

上記のページから上位のものをいくつか抜粋すると以下のような感じになります。

  • 123456
  • password
  • qwerty
  • abc123
  • football

単純な英数字の羅列である

ただの数字の羅列「123456」・アルファベットと数字を単純に並べた「abc123」などは、誰にでも思い付くのでダメです。

「123456」はテンキーを順番に押すだけですし、「abc123」もちょっと捻っているものの、セキュリティのリスクを低減するほどの対策にはなっていません。

こういったパスワードは「ブルートフォースアタック(総当り攻撃)」というパスワードに使用できる全ての文字の組み合わせを試して不正ログインを行おうとする手法に対しては極めて無力です。

辞書に載っている英単語である

辞書に載っている英単語である「password」・「football」なども良くありません。

誰にでも思い付く単純な単語であるから、という理由もありますが、たとえ特定分野の専門家しか知らない英単語であったとしてもアウトです。

不正ログインの手法のひとつに「辞書攻撃」という辞書に載っている単語をひたすらパスワードとして利用する攻撃方法があるからです。

キーボード配列に従っている

一方で、「qwerty」は意味不明な文字列なので他と比較すると良いパスワードに思えるかもしれませんがこれもアウトです。

というのも、手元のキーボードを見れば分かりますが、キーボード上のキー配列と全く同じだからです(左上にある「Q」から右方向へ進むだけ)。

一見すると強固に見えても誰にでも思い付く規則性に従っているという点では、ダメなパスワードの筆頭である「123456」や「password」などと大差ありません。

強固なパスワードの例

例と言いつつ具体例を上げるのが難しいのですが、以下の条件を満たしていれば強固なパスワードである可能性が高いと言えます。

8文字以上である

基本的にパスワードは長ければ長いほど良いです。

悪意を持って不正アクセスをしようとするときはコンピュータを用いて機械的に連続でログインを試みるのが普通ですので、ブルートフォース(総当たり攻撃)が行われた場合、パスワードが4桁しかなければ英字・数字・記号の組み合わせであっても10分足らずで正解が見つかってしまいます。

パスワードはなぜ8文字以上にするのか
http://www.waseda.jp/mnc/letter/2011sep/end_column.html

しかし、パスワードが8桁であれば英数字の組み合わせで約50年、英字・数字・記号の組み合わせなら約1,000年もかかりますので、不正ログインを防ぐ効果が十分に期待できるのです。

記号が含まれている

ブルートフォース(総当り攻撃)が行われる場合、使用できる文字数が多ければ多いほど強いパスワードとなります。

パスワードの組み合わせは「使用できる文字数^桁数」だからです。

例えば単純に2桁の場合で考えますが、数字だけだと「100パターン = 10^2」ですが、英字だけだと「676パターン = 26^2」、数字と英字を組み合わせると「1,296パターン = 36^2」のように、文字数が少し増えるだけで組み合わせの数がどんどん増えていきます。

英数字だけだと心ともなくても、記号が加われば組み合わせが爆発的に増加するため、記号が含まれている方がパスワードとしての強度が高くなるのです。

また、パスワードの桁数が増えるとその防御力は更に高まります。

サイトごとに異なる

どんなに強固なパスワードを考えても、色々なサイトで使い回しをしていると一旦漏れてしまった後は非常に弱いです。

万が一漏洩してしまったときのリスクを最小限に抑えるためには、各サイトごとに異なるパスワードを利用することが大切です。

強固なパスワードの作り方

以上を踏まえたうえで、不正アクセスに対して強固なパスワードの作り方を考えていきます。

絶対に忘れない特定の文字列

強固なパスワードであっても忘れてしまってはいけないので絶対に忘れないものである必要あります。

「絶対に忘れない」と言うと難しいように思えますが、

  • 初めて買ったCDの曲名
  • 卒業した小学校・中学校・高校の名前
  • 好きな映画のセリフ
  • 初めて付き合った彼女(彼氏)の名前

などであれば忘れることはないでしょう。

とは言っても、上記をそのままストレートに使用すると単純なものになってしまう可能性があるため、ちょっとだけ工夫する必要があります。

例えば、「I wish I were a bird.」というフレーズ(某英会話教室のCMで有名)を使用して、

絶対に忘れない強いパスワードの作り方
手の加え方 手を加えた後の文字列
各単語の先頭2文字を抽出 I wish I were a bird. IwiIweabi
各単語の末尾2文字を抽出 I wish I were a bird. IshIreard

のようにちょっと手を加えてみます。

すると、これだけで意味不明な文字列の組み合わせになるため、いい感じのパスワードが出来上がります。

上記の操作はただの一例ですので、

  • 先頭(末尾)から取り出す文字数を変える(1文字・3文字など)
  • 先頭(末尾)ではなく2文字目から取り出し始める
  • 先頭と末尾の文字を1文字ずつ取り出す

など、他にも色々な方法があります。

また、上記では「I wish I were a bird.」のみを使いましたが、

  • 「初めて買ったCDの曲名 + 卒業した小学校の名前」
  • 「好きな映画のセリフ + 初めて付き合った彼女(彼氏)の名前」

などのように組みわせて使うのもアリです。

とにかく忘れさえしなければ何でも構いません。

記号を使う

これだけでそれなりのパスワードが出来上がりましたが、更に強固にするためには記号も付け加えたいところです。

上記の場合は英文を元にしているため、元のフレーズにも付いている「.(ピリオド)」を末尾に加えるだけで簡単に記号を含むパスワードが出来上がります。

もしくは「a」を「@」に置き換えるなどの方法も有効です。

絶対に忘れない強いパスワードの作り方
英数字だけのパスワード 記号の使い方 記号を含むパスワード
IwiIweabi 「.」を付け加える IwiIweabi.
「a」を「@」に置き換える IwiIwe@bi
IshIreard 「.」を付け加える IshIreard.
「a」を「@」に置き換える IshIre@rd

もちろん、両方やっても構いません。

ただ、サイトによって使える記号は異なりますし、そもそも記号を使えないサイトもあるため

  • 「@」が使えないサイトは「+」を使う
  • 記号が使えないサイトは「a」の後に「Z」を付け加える(桁数を増やして強度を上げるため)

など、適用するルールに自分の中で優先順位を付けて対応すると良いと思います。

サイトごとに固有の文字列を付け加える

ここまでで記号を含む強固なパスワードは出来上がっていますが、最後にサイトごとに異なるパスワードにしなければなりません。

手っ取り早い方法は、上記で作ったパスワードの中に利用するサイトの名前を入れることだと思います。

絶対に忘れない強いパスワードの作り方
サイト名 元のパスワード サイト固有のパスワード
Amazon IwiIwe@bi IAwMiAIZwOeN@bi
IAwMiZINwe@bi
楽天市場 IRwAiKIUwTeE@Nbi
IRwKiTINwe@bi

全部入れてしまうパターン、子音だけ入れるパターン、面倒であれば先頭(末尾)にくっ付けるパターンなど色々考えられますが、いずれの方法でもサイトごとに固有のパスワードが出来上がります。

必然的に桁数も増えるため、強度も上がって一石二鳥です。

まとめ

上記のパスワードの作り方は実際に私が実践しているものです。

パスワードそのものは意味不明な文字列である上に長いので覚えることはできません(よく使うサイトだけは覚えています)が、

  • パスワードの元になる絶対に忘れない文字列
  • 記号の使い方
  • サイトごとの固有のパスワードの作り方

は自分の中で確立しているため、いつでも簡単に強固なパスワードを作り出すことができます。

毎回パスワードを作るのは手間ですが、不正ログインのリスクと比べれば安いコストですので、是非今日から試して頂ければと思います。


☆ポイントサイト間の広告比較検索サービス「調べ得(しらべとく)」を作りました♪


「調べ得(しらべとく)」を早速使ってみる!(クリックで開きます)
  • このエントリーをはてなブックマークに追加

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です