それでも自力でパスワード管理する方法2024(376号)
前号では、「パスワードの作り方2024」と書きながら、具体的なパスワードの作り方は書きませんでした。
前号の末尾も書きましたが、2024年現在、筆者はパスワードを自己管理しています。
「おまえだけズルい」と言われるのも心外ですので、今回はその手順についてお話をします。
ですが、自己管理がかなりリスキーになってきている事実に変わりありません。
今回の内容はそれでも自己管理したいという方への指南書ですが、自己管理をオススメするわけではありません。
筆者自身もいつまで自己管理するのか考え中な状態なのですから。
パスワードの自己管理はリスキーです
前回も書いたように、現状ではパスワードを自己管理することはリスキーといえます。
一般的にはChromeやSafariなどのブラウザのパスワード管理機能の利用が一番ラクですし、無難なやり方です。複数の端末(パソコンとスマホ、タブレットなど)を併用する方なら、専用のアプリ(1Passwordなど)の購入すれば、共有の面倒臭さもありません。
また、全てをパスワード管理機能に委ねず、特に大切なパスワードだけは手帳に個別にメモっておく方式も良いと思います。
いずれにしても全てを手作業で管理するというのはそろそろ時代遅れになってきている、というか無理になってきているということは改めてお伝えしておきたいと思います。
また、パスワードを覚える以外の方法も積極的に利用しましょう。
例えば、以前から言われている多要素認証(二要素認証とも)は有用です。
確かに認証を何度もするのは面倒ですし、多要素認証でも騙される時は騙される(必要な手続きかと誤解させられる)ため全ての攻撃を防げるわけではありませんが、それでもガード方法として利用すべきです。
最近はパスキー(FIDO2)方式も少しづつですが、拡がってきています。
docomoやGoogleでパスキーという言葉を聞かれた方も多いことでしょう。
このパスキー方式は説明すると長くなりますが、パスワード相当の情報(秘密鍵)をスマホやパソコンに覚えさせる方式でパスワードよりはるかに安全な方式です。
こういった新しい手法も是非利用すべきです。
パスキーの話は以下で。
要は、パスワードを自己管理するにしても、できるだけ覚える対象を絞り込みましょうということです。
パスワードを自己管理する
パスワードの自己管理する場合に問題となるのは、いかにしてサービス毎にパスワードを変えるかということになります。
ここでは2つの方法をご紹介します。
いずれも、筆者が長年利用している方式です。
一つ目は、長いパスワード(おおむね30文字以上)が許容されるケース。
この場合は、とにかくパスワードを長くする方針にします。
詳しくは次節で書きます。
もう一つは、ずっと短かいパスワード(例えば16文字)しか許してくれないケース。
この場合の選択肢は二つ。
ベストは、そのサービスを退会してしまうことです。
パスワード文字数が短かくてOKなんて判断をするサービスなのです。情報セキュリティ対策だって期待できません。攻撃を受ければあっさり情報漏洩されるかもしれません。
そんなサービスに個人情報を預けること自体がリスクです。さっさと見切りをつけて退会しましょう。
次点はサービスの継続利用ですが、短かくてもある程度の強度を保てるように個別パスワードを付ける必要があります。
この方法は次々節で書きます。
長くて良いなら単語を並べたパスワード
長いパスワードを許してくれるサービスであれば、4つ以上の英単語(もちろん日本語や他の言語でもOK)を並べてパスワードとしましょう。
それでもサービス毎に変えるなんて無理そうに感じますが、工夫で乗り越えられます。
生成されるパスワードはこんな構造です。
パスワード=ベースパスワード+サービス固有パスワード+サービス名
・ベースパスワード:
2つの単語から構成。全パスワードで共通
・サービス固有のパスワード:(2単語)
2つの単語から構成。サービス毎に変わる
詳しい方法は後述
・サービス名:
1単語のサービス名で、サービス毎に変わる
※amazon、google、facebookなど
このように全体としては3パート(5単語)の構成です。
5つの単語のうち、2単語はベースパスワードなので全パスワードで共通、残りの3単語はサービス毎に変わることになります。
最初にベースパスワードを決めます。
特にルールはありません。覚えやすい言葉や好きなフレーズなどで決めてください。
次にサービス毎に変える単語用の単語帳を作ります。
単語帳と言っても、アルファベットの各文字に対応する単語だけが1つだけのカンタンなものです。
辞書などでテキトーにページをめくってテキトーな(5文字以上の)単語を選びます。
a から始まる単語を1つ、b から始まる単語を1つという具合に全アルファベットの単語を決めます。(合計で26コの単語帳になります)
ここに日本語の単語(ローマ字つづり)を混ぜるのも良いと思います。
この単語帳は手帳やスマホに保管してもOKです。
単語帳のサンプルを以下に示します。
こんな感じですね。
a= aozora(青空)
b= biography(伝記)
c= clapping(拍手)
:(中略)
g= griffon(グリフォン)
:(中略)
o= ornament(オーナメント)
:(中略)
y= yacht(ヨット)
z= zukkoke(ずっこけ)
この単語帳を使ってサービス毎に違ったパスワードを作ります。
手順は次の通り。
1. ベースパスワードをならべます。
この2つは全パスワードで共通です。
2. 単語帳を使ってサービス固有のパスワードを決めます。
3. 上で決めた単語を加えます。
4. 最後にサービス名を加えます。
5. これでできあがりです。
と、言葉ではわかりにくいので、具体例でいきましょう。
条件は以下の通りとしましょう。
・「ベースパスワード」は rabbit と planet という2単語
・「サービス固有のパスワード」用の単語帳は、上記サンプルとします。
サービス名から抜き出す2文字は、最初の2文字でもいいのですが、
ここでは1文字目と3文字目とします。
以上の条件で、amazon用とgoogle用の2つのパスワードを作ってみましょう。
amazon用パスワード:
1. ベースパスワードをならべます。
→rabbit-planet
2. 単語帳を使ってサービス固有のパスワードを決めます。
※ここではサービス名(amazon)の1、3文字目を拾います。
1文字目=a → aozora
3文字目=a → aozora
3. 上で決めた単語を加えます。
→rabbit-planet-aozora-aozora
4. 最後にサービス名を加えます。
→rabbit-planet-aozora-aozora-amazon
これがamazon用のパスワードになります。
ハイフンを除いても29文字というかなりの長さですので、十分に強固です。
余談になりますが、上記でaozoraが2回出てきますが、これは問題ではありません。
よく、暗証番号の1111や1212はダメだと言われますが、これは明らかな規則性があり、予測しやすいためです。例えば1234は同じ文字を使っていませんが、規則性が強くダメな暗証番号となります。一方、9118は同じ文字を使っていますが、ダメな暗証番号ではありません。
次に、google用のパスワードを作ってみます。
1. ベースパスワードを並べます。
→rabbit-planet
2. 単語帳を使ってサービス固有のパスワードを決めます。
※ここではサービス名(google)の1、3文字目を拾います。
1文字目=g → griffon
3文字目=o → ornament
3. 上で決めた単語を加えます。
→rabbit-planet-griffon-ornament
4. 最後にサービス名を加えます。
→rabbit-planet-griffon-ornament-google
今度はハイフンを除いても31文字です。
この方式であれば、どんなサービスでもパスワードが重複することはなく、しかも強固なパスワードが生成できます。
ちなみに、この方式は筆者オリジナルの方式で、SILメソッド(えがおIT研究所=Smile IT Labo:SIL)と呼んでいます。
サービスによって、大文字が必須なら最初を大文字にする、数字が必須なら末尾に7を付けるといったアレンジを加えてください。
これなら、サービス毎に違ったパスワードを作ることもカンタンですよね。
短かくても強いパスワード
さて、お次は、文字数制限の強いサービスでのパスワードです。
筆者の知る限り、一番文字数が少ないサービスは楽天銀行です。
ここのパスワードは最大でもたったの12文字です。これは本当に困った話で、銀行ともあろうものが12文字のパスワードしか使えないというのはいかがなものかと思います。
さて、12文字などという短かさで強度を保つことは難しいのですが、サービス毎にパスワードを変えることは十分に可能です。
上で書いたSILメソッドとほぼ同様ですが、生成されるパスワードはこんな構造です。
パスワード=ベースパスワード+サービス固有文字
・ベースパスワード:
あらかじめ決めておいた10文字。全パスワードで共通
・サービス固有文字
サービス毎にチョイスする2文字。サービス毎に変わる
手順は次の通り。
1. ベースパスワードを10文字で考えます。
皆さんが日常で使っているパスワードの流用でOKです。
以下の例では、適当に考えた以下の10文字としています。
mypAssKcd#
2. サービス名から2つの文字を拾って、末尾に追加します。
以下の例では、1文字目と3文字目を抜き出しています。
3. これでできあがりです。
短かいパスワードですので、長いものに比べると明らかに強度は落ちますが、それでも使い回しをするもはるかにマシなパスワードになります。
これもamazonとgoogleの場合を例示します。
amazonの場合:
1. ベースパスワードを10文字で考えます。
→mypAssKcd#
2. サービス名から2つの文字を拾って、末尾に追加します。
1文字目=a
3文字目=a
→mypAssKcd#aa
googleの場合:
1. ベースパスワードを10文字で考えます。
→mypAssKcd#
2. サービス名から2つの文字を拾って、末尾に追加します。
1文字目=g
3文字目=o
→mypAssKcd#go
いかがでしょうか。
単純な方式ですし、これなら運用できそうな気がしません?
2文字しか違わないって、大丈夫?
後者の短かいパスワードについては、不安を感じる方もおられると思います。たった2文字しか違わないパスワードでホントに大丈夫なのだろうか?と。
端的にいって、大丈夫じゃありません。
12文字とかのパスワードが安全なはずないんです。
サービスを継続利用するなら、サービス毎のパスワードは必要です。必要だからやむをえず、上記の方式をご紹介しただけで、推奨するわけではありません。
ていうか、最初に書いた通り短かいパスワードしか許さないサービスなんて退会するに限ります。
それを理解いただいた上で、「じゃあ、2文字しか差がないパスワードはバレるのか?」というと「2024年現在はまだ大丈夫そう」が答えです。
現状ではまだまだ多くの人が同じパスワードを使い回しているからです。
犯罪者側からすれば、パスワードの使い回しをしてる利用者(カモ)がたくさんいる状態であり、 一部でもパスワードを変えている利用者は「攻略が面倒なキャラ」です。
あくまで2024年現在の話である点に注目してください。
今後は「パスワードの使い回し禁止」のキャンペーン効果もあり、パスワードを使い回す人が減ることは間違いありません。
そうなった時に犯罪者がどのような手段で、パスワードを突破しようとするかは全くの未知数です。
そのうち、少し違うだけのパスワードは破られるかもしれません。
まとめ
前回はパスワードの自己管理については書きませんでしたが、パスワード管理機能や他者にパスワードを預けることを嫌う方もおられることでしょう。
自己管理したいが、サービス毎にパスワードを変えるのはムリという方もおられると思い、今回の記事を作成しました。
パスワード管理機能の利用をためらう方でも、今回の方式は使えるはずです。
特にパスワードの使い回しをしている方は是非(今回のSILメソッドでなくても)個別パスワードに切り換えるようにしてください。
最後になりますが、パスワードなんて忘れてしまっても構わないと筆者は思っています。
忘れたって五分で再設定できるのですから。
その五分を惜しんでパスワードの使い回しすることは、本末転倒でしかありません。
詳しくは以下の記事に書きましたので、是非ご一読ください。
今回の記事が皆さんのパスワードライフの一助となりますように。
今回はパスワードの自己管理についてお話しました。
次回もお楽しみに。
(この記事は2024年10月に執筆しました)
このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html
弊社の窓口( info@egao-it.com ) にメールをお送りいただいてもOKです。