また明日。

ガジェットやWebサービス、アニメなどについて書き殴っています。

スポンサーリンク

安全なパスワードの作り方から管理方法まで

f:id:kotatuworld:20180630203631j:plain

パスワード設定する際に安易な考えでパスワードを作っていませんか?

例えば、自分の名前と誕生日を組み合わせただけとか、簡単に破られてしまうパスワードを使っていては個人情報を容易に盗まれてしまいます。

自分自身を守るためにパスワードは強力なものにする必要があります。

そこで、パスワードの作り方や管理方法についてご紹介します。

 

絶対にやってはいけないこと

まずはパスワードを作成する際に、絶対にやってはいけないことを説明します。

  • 規則的なパスワード
  • 短すぎるパスワード
  • 個人情報が入ったパスワード
  • パスワードの使い回し
  • 単語のみのパスワード

 

規則的なパスワード

「1111」「abcd」といった規則性を持ったパスワードは簡単に破られてしまうほど、強度が弱すぎるので何の役にも立ちません。

確かに、規則的であれば覚えやすいかもしれませんが、破られてしまっては意味がありません。

 

短すぎるパスワード

7文字以下のパスワードは短すぎます。

これも先ほど同様に、短いと覚えやすいかもしれませんが、パスワードとしての強度が弱すぎます。

 

パスワードの使い回し

複数のサービスで同じパスワードを使っていると、一つのサービスからパスワードがバレてしまうと、そのまま芋づる式でパスワードが破られていきます。

パスワードを使い回していると超強力なパスワードを設定していたとしても、万が一バレてしまったら一巻の終わりです。

 

単語だけのパスワード

辞書に載っているような単語や有名人の名前などは辞書攻撃で見破られてしまいます。

辞書攻撃はパスワードとしてよく使われる単語を延々に当てはめるという、パスワードを見破る手法の一つです。

 

パスワードの作り方のコツ

ここからは安全なパスワードの作り方を説明していきます。

先ほど紹介した、「絶対にやってはいけないこと」に気をつけながら作っていきましょう。

 

規則性を持たない複雑なパスワード

規則的なパスワードは簡単に見破られるので、パスワードに規則性を持たせてはダメです。

けど、それだと覚えづらくなってしまいますね。

そこで、他人からしたら意味の分からない文字列だけど、自分からしたら意味を持つ文字列にしてみると覚えやすくなります。

では、実際にやってみます。

大人気漫画の「進撃の巨人」を使ってパスワードを作ってみます。

まずは、「進撃の巨人」をローマ字にします。

すると、「singekinokyozin」になります。

最初の文字の「s」を拾って、次の文字の「i」はスルーして、また次の1文字を拾って、その次はスルーしてを繰り返します。(奇数文字目だけ拾う)

すると、「sneioyzn」になります。

これに数字や記号を加えていきます。

進撃の巨人に関連する数字を入れようと思います。アニメ化されたのが2013年4月からなので、さっきの「sneioyzn」のどこかに20134の数字をバラバラに入れてみます。

f:id:kotatuworld:20180630202516j:plain
これで、複雑だけど覚えやすいパスワードの出来上がりです。

今回、実際に一つパスワードを作ってみましたが、これは一例にすぎないので、今回紹介したやり方を参考にいろいろと応用してみてください。

 

10文字以上のパスワードを心掛ける

パスワードを頑丈なものにするなら最低でも10文字は必要です。

8文字以上でも強度の高いパスワードではありますが、なるべく10文字以上を心掛けるようにしましょう。

先ほど作ったパスワードは13文字あるので、10文字のラインはクリアですね。

もちろん、10文字以上のパスワードでも規則性のあるパスワードではダメです。

「abcdefghijklmn」とかでは、意味がありません。

 

パスワードを使い回さない

サービスごとに新しくパスワードを作るのは大変だし何個も覚えられない場合は、1つのパスワードをベースにサービスごとに別々のパスワードを作ってみましょう。

例えば、Twitterの場合は、一度作ったパスワードに「Twitter」の始めの文字と最後の文字の「tr」などを追加することで、パスワードを分けることができます。

f:id:kotatuworld:20180630202514j:plain

単純に「tr」を付け足すだけではなく、「tr」を入れる場所を工夫する必要はあります。

 

このやり方は覚えやすくて良いのですが、なるべくサービスごとに新しくパスワードを作るようにした方が良いです。

 

パスワード生成ツールの使用

自分でパスワードを作るのが面倒くさい方は、ツールを使用して強度の高いパスワードを作ることもできます。

 

一切意味を持たないパスワード

意味を持たせないように、適当に文字を打ち込めば、他人からも自分からも意味を持たない文字列になります。

そうすることで、強度が高いパスワードになりますが、その反面、覚えづらくなります。

そういった場合は、パスワードをメモするのも有効な手です。

そのメモは漏洩しないように管理しておきましょう。

 

パスワードの変更に注意

多くのサービスでパスワードの定期的な変更を呼び掛けていますが、NIST(アメリカの研究所)のITセキュリティ部門CSDは、パスワードの定期的な変更を否定しています。

多くの人がパスワードを変更しても、簡易的な変更しかしないため、そのような結果になったみたいです。

そのため、変更するなら攻撃者から推測されづらいように工夫する必要があります。

 

2段階認証の使用

サービスによっては2段階認証を採用している所もあるので、確認してみましょう。

2段階認証を採用していれば、是非とも有効にしましょう。

2段階認証には、パスワード以外にも「ワンタイムパスワード」と呼ばれる、その場限りのパスワードを使用します。

そのため、攻撃者にパスワードがバレてしまっても「ワンタイムパスワード」が分からないとログインすることができません。

 

パスワードの管理も気をつけよう

強力なパスワードを作り終えても、そこで油断してはいけません。

パスワードを作ったら、そのパスワードを漏洩しないように管理しなければいけません。

 

自分のミスで漏洩する場合もあれば、悪意ある第3者からパスワードを盗まれる場合もあります。

 

自分のミスで漏洩する場合、

  • パスワードを書いた紙をデスク周り等に置いたままにする

 

これって以外とやっちゃう人が多いので気をつけましょう。

パスワードをメモしたものを他人の目が届かない場所に置いていたとしても、万が一見られてしまうことがあるかもしれません。そのため、他人に見られてもパスワードがバレないように工夫する必要があります。

例えば、作成したパスワードの中にそれとなくサービス名を入れてメモしておけば、他人からしたら何のパスワードか分かりません。しかし、自分ではどのサービスのパスワードなのか把握することができます。

f:id:kotatuworld:20180630215903j:plain

このやり方も一例にすぎないので、いろいろと試行錯誤してみてください。

 

悪意ある第3者から盗まれる場合、

  • なりすまし等でパスワードを聞き出す
  • ショルダーハッキング(パスワードを入力しているところ盗み見すること)

 

電話やメールでパスワードを聞かれても教えないようにしたり、パスワードを入力するときは周りに人がいないか確認するなどの対策をしましょう。

これらの方法以外にもパスワードが盗まれる場合はあるので、細心の注意を払うようにしましょう。