安全で忘れないパスワードの作り方を考えてみよう(前編)

セキュリティの話題
レベル: ★★☆☆☆

こんにちは、K’z Style代表・宮崎です。

IT関係のものを使う際の厄介なものの一つに「パスワード」がありますね。
入力すること自体も面倒ですが、どのサービスにどんなパスワードをつけたか覚えておくのが大変じゃないでしょうか??

毎日使うパソコンのログイン時のパスワードくらいであれば、まぁ毎日入力しているから忘れることはないでしょうが(といいながら長い休み明けなどにログインしようとして「あれ?何だったっけ?」ってなったことある人も多いんじゃ??)、たまにしか使わないアプリへのログインだとか、通常パスワードも自動入力にしている場合に何らかの都合でパスワードを入力しなくてはいけなくなった時など本当に困ってしまいます。

最近は人間がパスワードを記憶するのではなく、もう機械(アプリ/ソフト)にやってもらおうということで「パスワード管理ソフト」なるものが有料/無料それぞれ世の中にあるようです。

とは言うものの、ボクを始め疑り深い人もいらっしゃって、「パスワード管理ソフトからパスワードが漏れてしまったら?」とか「パスワード管理ソフト自身本当に安全なの?」などと思うのではないでしょうか。

そんな方はやっぱり今まで通り自分の頭でパスワードを記憶しておくのが一番かもしれません。

今回は、この厄介なパスワードを「安全で」「忘れない」ものにするにはどうしたら良いかをご紹介します。

パスワードの「方針」

まずは「安全で」「忘れない」パスワードを作成するための基本的な方針・方向性を次のように決めます。

  • 忘れないものにする
    当然です。
  • 第三者から推測されにくいものにする
    これも最低限満たさないといけないことですね。
  • 大方のパスワード基準を満たすものにする
    今回は次の条件とします。

    • 十分な長さを持つ(6文字以上)
    • 大文字・小文字・数字・記号を混在させる
  • サービス毎にパスワードを変える
    Windowsパソコンにログインするのか、Gmailにログインするのか、Amazonにログインするのか、などパスワードを入力する相手先を今回は「サービス」と呼ぶことにします。
    異なるサービスにログインするパスワードを同じにするような「使い回し」はやめることにします(同一にしているとパスワードが漏えいするとすべてのサービスのパスワードが漏えいしたことになってしまいます)。

作成パターン(2つ)

さて、上の方針を踏まえてパスワードを作っていくわけですが、その作成パターンとして次の2つをご紹介します。

パターン1.文字、数字を組み合わせて作成

パターン2.お気に入りのフレーズを基に作成

パターン1はよくあるパスワードの作成方法ですが、少し工夫することで強固で、かつ忘れない(忘れにくい)パスワードにすることができます。

パターン2は単純なのですがパターン1よりも強固なパスワードにすることができ、なおかつ忘れにくいというものです。
個人的にはこちらがおすすめです。

では、実際に作ってみましょう。

パターン1.文字、数字を組み合わせて作成

このパターンのパスワードは次の4つの部分で構成することにします。

  1. 英文字部分
  2. 数字部分
  3. 接続部分
  4. サービス毎に変化させる部分

 

用意するもの

■ 「英文字部分」の文字列(2文字以上)

自分の名前でも、今までパスワードに使っていた文字列でもOKです。

■ 「数字部分」の基となる数字:4文字程度

自分の誕生日、電話番号、愛車のナンバープレートなど、とにかく忘れないものを準備しましょう。

■ 「数字部分」を変化させる数字:1文字

これがひと工夫の1つです。
上で用意した「数字部分」にこの数字を足すことで簡単に推測されない「数字部分」に仕上げます。

今回は「数秘術」の「運命数」を使うことにします。

運命数とは、生年月日を1桁ずつ足していき、1桁になるまで加算をすることで導き出す数字です。
【具体例】
生年月日1980年4月15日生まれの山田さんの場合
運命数:1+9+8+0+4+1+5 = 28 → 2+8 = 10 → 1+0 = 1 → 運命数は「1」
パスワード作成に使った後は数秘術占いにも使えますので、ここでご自身の運命数を知っておくのも良いでしょう。

 

■ 「接続部分」の記号

基本部分となる「英文字部分+数字部分」と後述する「サービス毎に変化させる部分」とをつなぐための1文字として記号を決めます。

「@」(アットマーク),「+」,「_」(アンダースコア) などの記号をどれか決めましょう。

各サービス毎のパスワード作成基準によっては使えない文字があります。「@」「_」はたいてい使えるのでどちらかにしておくと良いかも。
重要なのは「一度決めたら変えない」ことと
「サービスで使えなかった場合、次に使えるものを決めておく(「@」が使えなかったら「_」を使う、それもだめなら「-」を使う、など)」こと。

 

作ってみましょう

では実際にパスワードを作ってみましょう。

例として「1980年4月15日生まれの山田さん」が次のように用意したとします。

  • 英文字部分:yamada
  • 数字部分の基となる数字:0415
  • 数字部分を変化させる数字:1
  • 接続部分の記号:@

英文字部分の加工

まずは英文字部分の一部を大文字にします。
たとえば末尾1文字を大文字にすると

yamada → yamadA

となります。
これで「大文字・小文字混在」の条件を満たせます。

数字部分の加工

数字部分「0415」の各桁に運命数「1」を足します。すると

0415→ 1526

となります。これで誕生日とは簡単に推測できない数字になります(15月などありませんから)

※「9」の場合は運命数1を足すと10になってしまうので、この場合は「0」にします。

※ 1月20日生まれで運命数1の人などは変換すると「1231」となり年月としてありえる数字になってしまうので注意しましょう。

※サービスによっては「同じ数字の繰り返し(1111, 8888,など)」「連続した数字(1234, 6789,など)」はダメとなっているところもあるので注意。

サービス毎に変化させる部分

何にログインするのか(=サービス)を示す文字列を決めておきます。
文字列の長さは固定にしておきましょう(2桁くらいがおすすめです)。
例えばこんな感じ

  • パソコンにログインする場合:pc
  • Googleにログインする場合:go
  • Amazonにログインする場合:am
  • スマートフォンのパスワード:sp
    など

結合

これを次のように組み合わせます。

「加工後の英文字部分」+「加工後の数字部分」+「数字部分を変化させる数字」+「接続部分の記号」+「サービス毎に変化させる部分」

すると、例えばGoogleにログインするパスワードは

yamadA15261@go

パソコンにログインする際には

yamadA15261@pc

となります。

強度チェック

ではここで、作成したパスワードの強さをチェックしてみましょう。

カスペルスキーというセキュリティ会社が提供している「パスワードチェッカー」にかけてみると、解読されるまでに

yamadA15261@go → 2世紀

かかる、という結果が出ました。まずまず強固なパスワードと思って良いでしょう。

ちなみに何も加工していない「yamada0415」だと

yamada0415 → 9日

で解読されてしまいます。

「数字部分を変化させる数字」を付加しない「yamadA1526@go」だと

yamadA1526@go → 83年

ですので、これでも大丈夫でしょう。

 

この方式の大事な点

■ 素材は決めておき、変えない

上の「強度チェック」の結果の通り、強固なパスワードが作成できます。
あとは作成したパスワードを「忘れない」こと。
そのためには「英文字部分」「数字部分」といった基本の部分で使用したものを変えないことが得策でしょう。例えば

  • 英文字に使用するもの:自分の姓、ニックネーム、好きな言葉、など
  • 数字に使用するもの:自分の誕生日、電話番号、など

というふうに素材をあらかじめ決めておき、変更しないようにするのがおすすめです。

この部分は凝りだすとキリがありません。推測されにくいように乱数を使ったりランダムな文字列を生成させたり、と趣向を凝らすことができますが、例のように単純な素材でも加工次第で強固なパスワードにすることができますので「忘れない」ことに重点を置くことが得策ではないでしょうか?

 

■ ルールを忘れないこと

この方式の根幹は「生成ルール」です。使用する素材は単純なものですので忘れないようにすることは容易でしょうが、生成ルールを忘れるとどうしようもありません。
最低限次のことは忘れないようにしましょう。

  • どんな構成か:英文字+数字+運命数+接続文字+サービス毎の文字
  • 英文字のどこを大文字にするか(先頭?末尾?)
  • 自分の運命数は?(いつでも計算できる)
  • サービス毎に変化させる文字列
    → ルールとサービス毎に変化させる文字列のパターンは紙やファイルに書いておいても大丈夫。

ルール自体はメモとして紙やファイルに記録しておいてもそこから実際のパスワードを推測される確率は低いでしょう。例えば

英文字末尾 数字運命 @ サービス

とメモに書いておくと良いかと思います。

 

長くなりましたので「パターン2.お気に入りのフレーズを基に作成」は次回に続きます。

最後までおつきあいいただき、ありがとうございます。

 CMSを使ったホームページ制作
 VPS, AWS等クラウドシステム構築
等々のご依頼承っております

コメント

タイトルとURLをコピーしました