見出し画像

最も簡単で強力なパスワードの作り方...

WordsWorks

はじめに

さて、今回のテーマはパスワードです。

「みなさん、パスワード使ってますか?」

まぁ使ってますよね。それも結構嫌々な形で。
そうです、パスワードに関して思うことはみんな同じです。
やれ何文字以上にしろ!とか、大文字小文字含めろ!とか、記号を絶対にいれろ!とか、本当に面倒臭いですよね。
しかも、サイトやアプリごとに別のパスワードにしろとか言われると、なんかもうどうでも良くなって、同じパスワードを使い回す人が多いのも理解できます。
その上で、2段階認証だとかバイオメトリクス認証とかあるのはいいけど、サイトやアプリごとに別々の方法があるとさらに混乱してしまいますよね。
そんなこんなでパスワードを忘れて日常的にリセットを繰り返すことも多いでしょう。

そんな中、パスワード管理ツールを使ってる人も多いでしょうが、この類のツールにも専用のパスワードが必要になるし、そもそもこのツールが最も不正アクセスの対象になっていることを考えると、やはり全幅の信頼を置くのは難しいというのが私の意見です。

また「パスキー」というApple、Google、Microsoftなど大手が参加する団体が提供するパスワードレスのための仕組みも盛り上がってきてはいますが、広まるには時間がかかるでしょう。

というわけで、このスマホ全盛の今の時代、パスワードは避けては通れないものになっています。
それなのにパスワードの管理は究極的にはユーザーに任せるしかないのも事実です。もちろん不正アクセスからユーザーを守る仕組みを作るメーカーにも最大限賛辞を送りたいと常々思っていますが、どこまで行っても完全なんて状態にはなりえない以上、ユーザーに一方的に負荷がかかる現状に変わりありません。

などと考えている中、(お酒の席で)友人からちょっと質問されました。
「使ってるサイトが不正アクセスでパスワードとか漏れたみたいでさ…」
「とりあえずパスワードを変えて、同じパスワードを使ってた別のサイトも何個か別のものに変えたよ…」
「ほんと大変だったよ…」
「つか、パスワードってどうやって管理したらいいか、いい方法あったら教えてくれない?」

といわけで、私が行っていたパスワード管理の方法を友人にレクチャーしたわけです。
そうです、今回のテーマはこの時に教えたパスワード管理方法をブラッシュアップしたものになります。
もちろん、絶対安全だとは口が裂けても言えませんが、もし今パスワード管理を適当にしている方がこの方法を実践すれば、確実に安全になることは間違いありません。
リテラシーの高い方についても、この方法をさらにカスタマイズしたりして使うこともできるでしょう。
少なくともパスワードについて考え直す機会にでもなれば幸いです。

なお、この記事は後払い方式を採用してみることにしました。記事をすべて読んでみて、役に立ったと感じていただけましたら購入してください。

では、始めてみましょう!


6文字のパスワードを解析するとどれくらいかかる?

6文字のパスワードを解析するのにかかる時間がわかりますか?
答え: 一瞬!

そうです。間違いなく一瞬です。
しかも、数字だけだと10文字であっても一瞬で解析できます。
これがどれくらい怖いことかわかりますよね?
しかも大文字、小文字、数字、記号を含めた場合でも6文字では数秒から数十秒で解析可能です。
今これを知ったあなたが、今後登録したいサイトのパスワード規則が最低6文字と書かれていた場合、6文字のパスワードを使用できますか?
2段階認証完備のサイトであれば6文字でもいいかもしれませんが、6文字では怖いと感じるでしょう。

では、最低何文字あればいいのでしょうか?
私のおすすめは大文字、小文字、数字、記号を含めた最低10文字です。
これだけあれば、数ヶ月から年単位かかることになります。
次の項ではその辺りをまとめてみましょう。

強いパスワードの要件

  • 英大文字、英小文字、数字、記号を少なくとも各1文字以上含めた10桁以上であること。

  • ユーザー ID や、メールアドレスの文字列を使用しないこと。

  • よくあるフレーズを使わずにできるだけランダムな文字列にすること。

  • 同じパスワードを他のサイト間で使いまわさないこと。

上記要件に合致するパスワードの場合、パスワードの解析に現状でも 1 年以上かかります。
1年以上かかるものであれば、不正アクセスに遭う可能性は大きく減ります。
不正アクセスする犯罪者たちの最終目的は、パスワードを取得し、預金口座やクレジットカードなどお金に関わる情報にアクセスすることですから、一人一人について1年も解析してはいられないわけですし、サイト管理者側も大量の不正アクセスがあれば、アクセス拒否などの対策を施してきます。
つまり、不正アクセスはかなり時間にシビアな犯罪でもあるわけです。
もちろん、たまたま最初の数分でパスワードが合致してしまったなどということもあるわけですが、確率論的なことを考えれば文字列がランダムに近ければ近いほど、この出会い頭の事故のようなことは減ります。

さて、強いパスワードの要件はわかりました。
次はいよい私のパスワード管理方法の本題にうつりましょう。

ポイントは、どうやって長いパスワードを忘れないようにするかです。

WordsWorks式パスワード管理メソッド

その1

あなたが忘れないフレーズを複数個決める。

まずは3つ以上のフレーズを決めてください。
ポイント以下の3つです。

  • あなた以外の人があなたとそのフレーズに結びつきを感じない。

    • たとえば以下のものは避ける

      • 家族や友人の名前

      • あなたが好きな歌手やその歌のタイトル

      • あなたが好きな映画や、書籍のタイトル

    • 周りに内緒にしている趣味などはOK

  • メモしなくても頭文字を指定すればすぐに思い出せる。

  • 後で記憶違いが起こらないように、同じ頭文字のものは避ける。

例として架空の人物A氏を設定してフレーズを決めてみます。

  1. sherlock , holmes → 設定理由:ずっと読んでみたいと思っているがまだ一度も読んでない上に、周りからは漫画しか読まないと思われいる。

  2. kazetotomonisarinu(風と共に去りぬ) → 設定理由:同上。

  3. yamadatarou → 設定理由:彼がカバンに子犬を入れて教室に連れてきたのが忘れられない中学生の時の思い出の一つ。

※ただし、上記のシャーロック・ホームズなどのような世界中で有名な名前などは実際には使用しないでください。有名なほど解析のフレーズとして使われることが多いので、危険性が増します。

その2

決めたフレーズと数字、記号を組み合わせて、サイトごとに固有のパスワードを作成する。
作成の流れは以下のようになります。

  1. 決めた複数のフレーズをいくつか組み合わせる。

  2. 数字、記号を追加する。

  3. 大文字小文字を変えるなど、整形する。

架空の人物の例
1. 決めた複数のフレーズを組み合わせる。
  シャーロック + ヤマダタロウ + サイト名
  sherlock + yamadatarou + note
2. 数字、記号を追加する。
  sherlock1yamadatarou!note
3. 大文字小文字を変えるなど、整形する。
   sherlock1Yamadatarou!Note ←25文字のパスワード完成!

※サイト名を追加するのは文字数を増やすことと同じパスワードの使い回しを回避することが目的になります。

その3

文字列の頭文字と数字記号をメモしておく。
例で作成したパスワード sherlock1Yamadatarou!Note ならば
note : s1Y!N とメモしておく。

実際のパスワードを覚えていなくても、
このメモを見返すことで、あなたの頭の中では
sならばsherlock
YならばYamadatarou
NならばNote
と変換できるが、他の人にはこのメモから本当のパスワードは類推できないため、このメモが漏洩しても問題にはならない。
スマホのメモアプリや手帳にメモしてもこの形であれば安心。

その4

より安全にするためにできること。
ただし、凝り過ぎると忘れてしまう可能性も高いので、ほどほどにおこなってください。

- 「Sherlock」の「lock」部分を「iwa」や「69」に変えたり、前後に追加したりする。
→ 「Sheriwa」「Sher69」「6Sherlock9」など
- 「Sherlock」の間に他の文字列を入れ込む。
→ 「Sher+Holmes+lock」など
- 文字列を意味のない形に変更する。たとえば最初と最後の文字を消す、母音を消すなど。
→ 「Kazetotomonisarinu」を「azetotomonisarin」
→ 「Kazetotomonisarinu」を「Kzttmnsrn」
- 記号や数字にあなた独自の意味を持たせる。
→ 「0」の後に来る文字列から母音を抜く。
→ 「1」の後に来る文字列はすべて大文字にする。
→ 「2」の後に来る文字列はすべて小文字にする。

終わりに

さて、私の実践しているパスワード管理法はいかがでしたでしょうか?

ちなみに私も10年以上前ですがGmailに不正アクセスされ、メールを勝手に送信されたことがあります。幸いパスワードなどの変更はされず完全に乗っ取られることはありませんでしたが、アマゾンなど他のサイトと同じIDとパスワードだったこともあり、本当に肝を冷やしたものです。
その当時はまだ二段階認証もしておらず、本当に浅はかでしたが、その後サイトごとに別のパスワードを使用しながら忘れない方法を考え、この方法に行きつきました。
それ以来、パスワードを作る時に迷ったり、パスワードを忘れるなどパスワード管理にかける時間は大きく減らすことができました。

とはいえはっきり言って、パスワードという方法を使用している以上、絶対に安全ということはありません。
2段階認証があるならば絶対に行うべきですし、大元に不正アクセスされた場合、連携するすべてが乗っ取られことを前提にGoogleやAppleの連携機能やパスワード管理ツールをつかうことで直接管理するパスワードを減らすこともありでしょう。

パスワードを使用する以上、リスクは決して0にはなりません。
ですが0に近づけることはできます。
その方法はすでにたくさんあります。
探してみてください。
あなたにあったパスワード管理法がきっとあるはずです。

それが私のパスワード管理法であったのならば幸いです。

以上

ここから先は

0字

¥ 300

この記事が気に入ったらサポートをしてみませんか?