安全かつ覚えやすい！パスワード生成の３つのテクニック

どうも、室井（@muroiwataru）です。
みなさんはパスワードの管理、どうしていますか？

どのサイトでも同じパスワードを使いまわしている人も多いと思います。
しかしそれではどこかのサイトから流出した際に、他のサイトにまでアクセスされかねません。

別のサイトから流出したIDとパスワードで他のサイトにもログインする攻撃をパスワードリスト攻撃というよ

今回は安全かつ覚えやすいパスワードを作る３つのテクニックを紹介します。

危険なパスワードを理解しよう

安全なパスワードの作り方を紹介する前に、使っちゃいけないパスワードを紹介しよう。
もしも危険なパスワードを使っていたら、この機会に変更することをオススメするよ。

危険なパスワードの例

1. ID＝パスワード
   サイトでIDを決めるとき、既に誰かが使っているIDだと”そのIDはすでに使われています”なんて表示されますよね。
   もしIDとパスワードが一緒なら、そのIDに対して同じパスワードでログインしてみようなんてことをされたら即アウトです。
   IDとパスワードは絶対に違うものにしましょう。
2. 自分や身近な人の名前や誕生日
   これらをパスワードにすると推測されやすいです。
   それに、誕生日なんて365パターンしかないんですよ？
3. 辞書に載っている単語
   よくある例だと”password”とか”welcome”とかですね。
   辞書攻撃で簡単に解読されます。
4. 桁数が短い
   ハッカーの攻撃方法には、ブルートフォース攻撃というものがあります。
   考えられる組み合わせを片っ端から試す攻撃です。
   桁数が短いと速攻で解読されるので、最低でも８桁以上にしましょう。ただし、iPhoneのように手元にあるのが前提かつ一定回数のミスでロックがかかる場合は４ケタぐらいでも大丈夫です。
5. 小文字のみ
   これもブルートフォース攻撃に弱いです。
   小文字だけではなく数字も、できれば大文字と特殊文字も使いましょう。

ニュースでやってた間違った情報に注意

日テレで「安全で覚えやすいパスワードを作るワザ」が紹介されましたが…
こちらの情報、鵜呑みにしてはいけません。

パスワードの定期的な変更は不要！？安全で覚えやすいパスワードを作るワザとは？https://t.co/8b6YEKxQYa#パスワード #セキュリティー pic.twitter.com/O0xar90T6a

— NTV NEWS24 (@news24ntv) April 5, 2018

アルファベットの代わりに似ている記号や数字を使う方法を紹介していますね。

例）social → s0c!@1

ですが、このぐらいハッカーだって想定しているのでは？

イマドキは最初から「s0c!@1」とかの辞書で攻撃してくるんだよ。トレンドマイクロのエンジニアは普段ブルートフォース攻撃のログとか見てないの？ なんの事業やってる会社なの？ 恥を知れよ。こういう有害啓発やってる部隊とり潰せよ。https://t.co/Vq19s809Rb pic.twitter.com/OD8FyNXmvS

— Hiromitsu Takagi (@HiromitsuTakagi) April 5, 2018

この人のツイートを見ればわかりますが、辞書攻撃はこういった置き換えたあとの単語も試すようですね。
やはりパスワードに単語は使わない方がいいでしょう。

ちなみにこのニュース、トレンドマイクロが指南したようです。
トレンドマイクロはウイルスバスターを販売している会社です。

大丈夫かこの会社？

安全かつ覚えやすいパスワードを作る3つのテクニック

安全かつ覚えやすいパスワードはどのように作ればいいでしょうか？
乱数で大文字・小文字・数字・記号を使った１２文字ぐらいの作ればものすごい安全性でしょう。

例）EK!/Hi7$aR*Y

でも、こんなパスワード覚えられませんよね。
頑張って一つだけ覚えたとしても、使いまわしてしまっては意味がありません。
パスワードがサイト側から流出する可能性もあり得るからです。

なので、このような決め方はいかがでしょうか？

自分にしかわからない文章を作る

まずは自分にしかわからない文章を作り、ローマ字にします。
例えば、初恋の人が１組のマユミという人だったとしたら

初恋の人は１組のマユミ → HaTuKoINoHiToHa1KuMiNoMaYuMi

となりますね。
ここから母音だけを抽出します。

HaTuKoINoHiToHa1KuMiNoMaYuMi → HTKINHTH1KMNMYM

これで自分にしかわからない意味を持った１５文字のパスワードができました。

サイトごとにパスワードを少し変える

“HTKINHTH1KMNMYM”というパスワードを基準にして、サイトごとに自分のルールを決めて一部を変えましょう。

僕がオススメするのは、サイトのドメインの一部をパスワードの一部と置き換える方法です。
例えば、ドメインの３文字目と４文字目をパスワードの５文字目と６文字目と置き換えるとします。

PayPalのパスワードを作るなら、ドメインは”https://www.paypal.com”なので、www.の後の３文字目と４文字目を取りだします。
この場合は”y”と”p”ですね。

パスワードの５文字目と６文字目を入れ替えると

HTKINHTH1KMNMYM → HTKIYPTH1KMNMYM

となります。
パスワードは大文字と小文字を混ぜる方が好ましいので、変えた部分だけを大文字にして

HTKIYPTH1KMNMYM → htkiYPth1kmnmym

とすると更に安全でしょう。

アルファベットの代わりに似ている記号や数字を使う

この方法はハッカーにも想定されていて危険だと書きましたが、それは単語の場合です。
“password”を”p@ssword”に変えたところでどちらも辞書攻撃の標的になってしますからでしたね。

ですが、”htkiYPth1kmnmym”は自分以外には意味をなさない文字列ですから辞書攻撃の対象にはなりません。
攻撃されるとしたらブルートフォース攻撃でしょう。

なので、ここから似ている記号に置き換えるのは有効な対策になります。
この場合なら”i”を”!”に置き換えて”htk!YPth1kmnmym”にします。

こうすることによってブルートフォース攻撃でこのパスワードを当てるのに必要な計算は更に難しくなりました。
ここまで徹底すればパスワードを推測されることはほぼ0といっていいのではないでしょうか。

試しに”htk!YPth1kmnmym”の強度をカスペルスキーのパスワードチェッカーに入れてみました。
カスペルスキーパスワードチェッカー 日本語版

このパスワードなら解析までに３２６１世紀かかるようです。
これだけ強度が高ければ安心できますね。

パスワードを決める際に参考にしてみてください。

ちなみに初恋の人はマユミって人なの？

この物語はフィクションであり、登場する団体・人物などの名称はすべて架空のものです。