簡単で推測されにくいパスワードの作成方法のこつを紹介

  • 元記事:複雑さが全てではない 簡単に破られないパスワードの作り方
  • 発表日時 2014/12/18

    ハッカーのリスト攻撃によるパスワード問題は常に戦いで、各社サービスでは複雑なパスワードを求め、パスワードの使い回しはしないよう求めているが、ここでは覚えやすく簡単に破られないパスワードの作り方を紹介している。
    多くの人はわかり易いパスワードを使用しており、2013年に最も多く利用されたパスワードは「123456」や「password」、「12345678」がベスト3で、そのほかにも「iloveyou」、「letmein」、「abc123」などが常連となっている。それに対しセキュリティ業界は複雑なパスワードを使用するよう求めているが、複雑なパスワードということ以外にアドバイスを示すことはない。その結果として複雑で覚えきれないパスワードの代わりに単純な「123456」などのようなパスワードが使用される結果となっている。また、複雑なパスワードを使用する代わりに、パスワードを使いまわしたりする結果となる。しかし、実際には「複雑なパスワード」という言葉には誤解があり、多くの人は「記憶できないもの」と勘違いしているが、実際には複雑さではなく推測されないパスワードを求めている。予測不可能なパスワードの記憶自体はそれほど難しいものではなく、工夫次第で簡単に覚えられるパスワードができる。例えば「Iwentfishing4timeslastmonth?」(月4回釣りに行った)というパスワードにすれば、大文字、小文字、数字、特殊文字を含んだ「複雑なパスワード」となり、かつ覚えやすいパスワードになる。それにサイトごとに変更を加えた応用をすれば使い回しにもならない。フェイスブックのパスワードであればFBという文字列に自分の決めた数字などを加えて「FB89Iwentfishing4timeslastmonth?」などとすると強固で覚えやすく、入力が簡単なパスワードを各サービスごとに作成して利用でき、「123456」などの多用されるパスワードに比べれば格段に安全性は上がる。また、ユーザ名でメールアドレスを要求するところが多いが、金融機関などではユニークなユーザ名を許容しているところもあり、ユーザ名がユニークであればメールアドレス使用などにより情報がどこかで流出した場合に芋づる式に他のサイトに危険が及ぶ可能性はなくなる。
    セキュリティ専門家は、強固で覚えやすいパスワードの作り方を教えていくメッセージを送る必要があり、ユーザも予測不可能なパスワードに対する理解をする必要がある。