No154 短くても強いパスワードの作り方2020
このメルマガでは毎年のように強いパスワードの作り方について
解説をしています。
前回は2020年版の強いパスワードの作り方を解説しました。
今回は、その第二弾として、短くても強いパスワードの作り方を
解説します。
2021年4月27日追記
この記事は2020年の記事です。
2021年のアップデート版を公開済みですので、是非ご覧ください。
・No206 それでも短いパスワードは必要か?
1. え?今更短いパスワード?
前回のメルマガで筆者はこう書きました。
「ここ2年ほどで安全といわれる推奨パターンが変わってきました。
それは、3つ以上の単語をつないで20文字以上の長いパスワード
を作りましょうというものです。」
にも関わらず今回は短いパスワードの解説をしようとしています。
「舌の根も乾かぬうちに」と怒られそうですが、ちょっと待って
ください。
前回も書いたように、長いパスワードは間違いなくトレンドですが、
短いパスワードを使わざるを得ない場合があります。
それは、サービス事業者つまりサービスを提供している側が短かい
パスワードしか受け付けてくれない場合です。これだと、短くても
セキュア(安全)なパスワードを作るように工夫せざるを得ません。
2. 短いパスワードしか使えないサービス事業者は安全なのか?
本題に入る前に、皆さんにお願いです。
サイバー攻撃技術の向上により、短いパスワードが破られるリスク
は年々高まっています。短いパスワードしか使わせてくれないサー
ビス事業者は時代の要請に応えていないといえます。
そのような事業者はパスワードだけでなく利用者情報の保護、侵入
防止策といった情報セキュリティ対策全般も遅れている可能性が
否定できません。
となると、まず考えるべきは「本当にこのサービスを使い続ける
ことが必要か?」という点です。
他の類似サービスで代替できないか?利用頻度が低いならサービス
の利用自体をやめられないか?といった視点で考えてみてください。
それでもやっぱり必要という結論になれば、次にすべきはサービス
事業者への改善のお願いです。
サービス事業者にはお問合せ窓口があります。そこに「パスワード
で指定可能な文字数が少なく、安全なパスワード付与が困難です。
パスワード文字数を少なくとも30文字程度まで増やしてください」
といったお願いを送ってください。
この類の要請は社内でマジメに検討されています。
パスワードの文字数変更は割と小規模な改修で済むと思われます
ので、受け入れてもらえる可能性は高いと思います。
受け入れてもらえれば、今回書こうとしているような短いパス
ワードを無理して使う必要がなくなります。
そうなれば誰もがハッピーです。
3. 短くても強いパスワード
さて、そうは言ってもシステム改修には期間が必要ですから、
パスワードをより安全なものとする必要性はなくなりません。
ここではパスワードの最大文字数が16文字以下の場合を考えます。
これだけ短いと、単語をつなぐトレンドに沿った方法は取れません。
従来の、英字+数字+記号を混在させたパターンとならざるを得ま
せん。
根本的な考え方は前回の単語をつなぐパターンと同様です。
つまり、ベースとなる文字列を作ったうえで、サービスごとに
一部を変えて違ったパスワードとするのです。
なお、作成には紙と鉛筆を愛する方(筆者もこの世代)向きと、
PCやスマホを愛する方向きの2方式がありますので、ご自身の
好みの方法を選んでください。
今回は、紙と鉛筆世代のための方法です。
PC派のための方式については次回解説します。
なお、以下は約3年前に配信したNo18(2017/7/10配信)がベース
ですが、時代に合わせてかなり変更を加えています。
(お手元にNo18がある方はそちらと読み比べてみてください。3年の
変化がよくわかりますよ。)
4. 紙と鉛筆でパスワード1(ベースパスワード生成)
まず、ベースとなるパスワードを考えます。
以前は最低8文字といわれていましたが、2020年現在は最低でも
12文字は必要でしょう。
さて、そのうち10文字をベースパスワードとし、そこにサービス
ごとに異なる2文字を加えて、合計12文字とします。
ベースパスワードの元ネタは、愛犬の名前、現住所の最後の文字、
友人のイニシャル、趣味、その場で思いついた文字などなど、
何でもOKです。
ネタはアルファベットのものと数字のものを混ぜ、1つのネタから
は2文字だけを採ることににします。電話番号、クルマのナンバー
などをまるごと使うのは絶対に避けましょう。
ここでは12文字のパスワードを作る手順を具体例で示します。
モトネタ
愛犬の名前の一部=SA
住所の最後から2文字=28
友人=KT
思いつき=P%ZA (これだけ記号を入れています)
上を全てつなぐと、こうなります。
→ SA28KTP%ZA
このうち適当に一部を小文字にします。
→ Sa28kTP%Za
これで10文字のベースのパスワードが完成です。
元ネタが細切れですので、ほぼ無意味な文字列となっています。
これをがんばって暗記しましょう。
こんなの覚えられないよ!って方でも大丈夫です。
自分のスマホ番号や郵便番号くらいはソラで言えますよね?
このベースパスワードはしょっちゅう使います。
しょっちゅう使うものは、そうそう忘れたりしませんから。
5. 紙と鉛筆でパスワード2(サービス毎のパスワード)
上記のベースパスワードを使い、サービス毎の個別パスワードを
作っていきます。
そのため、まずベースパスワードに埋め込み用のスキマを空け
ます。(ここでは3文字目と5文字目の2箇所)
→ Sa_2_8kTP%Za
このベースパスワードのスキマにサービス名(ご自分のセンスで
サービス名を2文字に短縮したもの)を埋め込みます。
例えば、twitterなら、twでもいいですし、ttでも、trでも何でも
かまいません。
これをベースのパスワードに埋め込みます。
→ Sat2w8kTP%Za
これでtwitterのログインスワードが出来上がりました。
同様にapleへのログインであれば、サービス名をapに短縮すると
すると、
→ Saa2p8kTP%Za
がapple専用のパスワードとなります。
6. 紙と鉛筆でパスワード3(パスワードの保管方法)
最後のサービス毎の埋め込みが面倒ですが、この方式なら
どんなサービスでもほぼ違うパスワードを設定することが
できます。
しかもパスワードとしてはかなり強度が高く、他のサービス
への横流しもかなり難しいです。
覚えるのは、ベースのパスワードと埋め込みをする文字の位置
だけです。
覚えるのが大変、万一のために記録しておきたいという方は
自宅や勤務先の机の中であれば、すべてを書いたメモを保管
してもかまいません。
なお、スマホや手帳にメモを残す場合は
*a_*_*k*%*a
などと、一部は伏字にしましょう。
でないと盗難などに合った場合、全てがバレてしまいますから。
7. 紙と鉛筆でパスワード4(漏洩時のリスク)
万全に思えるこの方式ですが、多少のリスクがあります。
それは2つ以上のサービス事業者側がパスワードを漏洩させて
しまった場合に表面化します。
例えば、twitter社とfacebook社の両方からあなたのパスワードが
漏洩してしまったとします。
どちらもIDはメールアドレスですから、同じメールアドレスの
パスワード2つを比較すると次のようになります。
Sat2w8kTP%Za :twitter社のパスワード
Saf2c8kTP%Za :facebook社のパスワード
こうやって比較されると、両者の差分が2文字しかないのがバレ
バレです。
こうなると、他のサービスのパスワードも漏れたも同然です。
この場合は、ベースパスワードからの作り直しが必要です。
これが、本方式での大きなリスクです。
実は、次回解説するPC派に向けた方式ではこのリスクは存在
しません。
その詳細は次回に解説します。
次回もお楽しみに。
このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」のものです。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html