<パスワード神話>
パスワードは長い方がいい!
はい、覚えられて実用的な範囲であれば、長い方が確実に強いです。
技術的な説明は省略しますが、できれば15文字以上のパスワードを使うといいでしょう。
その場合、例えばいつもの8文字パスワード+12345678等の簡単な長さの延長方法でも、効果がありますよ。
パスワードの作り方の最近のブログ記事
管理人は、貧乏なので一攫千金を夢見て、「toto BIG」をインターネットで度々購入します。
6億円の当千金を受け取るのだから...と、長くて十分に強いパスワードを作り、これを使っています。長いパスワードは強いのはいいのですが、毎回、ログイン時に入力するのが、とても面倒です。
ところが、そんなある日、ふと気が付きました。
あれ?パスワードを入力していて、●印が、8文字以上は増えていかないぞ!
もしやと思い、ログイン時にパスワードを頭の8文字だけ入れてみて実行してみると....
なんと、ログインできてしまうじゃないですか!!!
そうです、このサイトは8文字までしかパスワードを使っていないサイトだったのです。
セキュリティ教育においては、十分に長いパスワードを使うことが推奨されているのに、8文字までに制限されているパスワードが採用されているサイトが多数あります。
詳しくみていくと、8文字までのパスワードにも大きく分けて2種類があります。
- パスワード設定時に、8文字までと明記されていて、8文字までのパスワードしか登録できないケース。この場合は、ユーザーは、8文字までであることを認識してパスワードを作るでしょう。
- パスワード設定時には、さも長いパスワードを受付したふりをしているのに、実際には8文字だけしか認証に使われていないケース。
注意したいのが2のケースです。
強いパスワードを作るのに、長さに頼った強いパスワードを作っていると、思わぬほど弱いパスワードになっている場合があるかもしれません。
極端な例ですが、あなたが考えたパスワードが
入力するパスワード: 0000000012345678tsuyoipawaadodesho!!
だったとします。
このパスワードは、コンピュータでは推測できないほどの強いパスワードですが、これが8文字に裏で制限されていたとすると
使われるパスワード: 00000000
これでは、ほぼ最弱なパスワードであることが分かります。
つまり、
パスワードは長い方がいいが、8文字でも強くなければならない!
8文字の強いパスワードを作って、その後ろに長さを確保する!
これがポイントになるのです。
認術大会では、ゲーム感覚でパスワードの強さ?弱さを体験できたと思いますが、いかんせん10年以上前の古いパスワード強度です。もう少し正確なパスワードの強さを知りたいと思う方には、
認術修業という同じ系列のシェアウエア(有料)があります。
この認術修業では、UNIXや最近のWindowsのパスワード強度を判定できます。
また、作成したパスワードのどこを変えると、パスワードがどう強くなるかも調べることができるので、パスワードに興味がある人にはおすすめです。
下記のサイトからインストールすると、無料お試しができるようです。
認術修業のお試し
メールのパスワードは、ネットワーク上で丸見え!
それなら、メールのパスワードは、"1234"でいいや!
ちょっ!ちょっと待ってくださいな!それは乱暴過ぎます。
メールのパスワードがネットワーク上で丸見えだと言っても、見ることができる場所は、あなたのパソコンからメールサーバまでの、経路上だけ。そこで、たまたまネットワークを覗いた人がいるとすると見られてしまうということです。あなたのメールの盗み見したいと思っているストーカー君が、すぐに知ることができるというものではありません。
ですから、パスワードの盗み見だけを理由に安易なパスワードにするのは止めましょう。
ただし、もうお分かりだと思いますが、とても重要なことがあります。
ネットバンキングなどのとても重要なパスワードとメールのパスワードは絶対に同じにしてはいけません!
管理人はすでにパスワード管理の限界にきています。
- 自分で何個のパスワードを持っているのか?
- どこのサイトにユーザー登録したのか?
- どんなIDだったか?
- どんなパスワードだったか?
- ...
みなさんはそんなことはありませんか?
恥ずかしい話ですが、作ったばかりのこのブログのパスワードでさえ、わからなくなってしまいます;
どうしてこんなパスワード地獄になってしまうのでしょうか?
原因はひとつではないですが、考えてみましょう。
<パスワード地獄になる理由>
- パスワードを登録するところが多すぎる(ひとり20個以上か...)
- 登録する会員ページやサービスごとに違うパスワードをつけなければいけない
- パスワードはメモしてはいけない
- サービスごとにパスワードのルールが違う
- サービスごとに使える文字が違う
- 長い間使わないものを忘れてしまう
- 数ヶ月で強制的に変更させられて、わからなくなる
- そもそも記憶力が悪い
<パスワード神話>
パスワードは、同じものを使いまわしてはいけない!
う~~~ん、確かにサービス毎に違うものを使った方がいいということは分かりますが、100個以上のパスワードですよ。このルールを決めた人、やって見せて欲しいです。
この点について、管理人が推奨するのは
- 全く違うパスワードにしなくてもいいが、1文字でいいから変える
ただし、銀行など重要なパスワードは、しっかりと変える。 - どうでもいいサービス、例えば一時的なメーリングリストや閲覧制限のページなどでは、共通の捨てパスワードを使ってしまう。
こうすることによって、かなりパスワード管理の負担が減ります。
とは言っても、新たに登録していくパスワードが増える数も半端じゃなくなってますから、どこまで耐えられるかわわかりませんが。
上手なパスワードの作り方については、あとで紹介します。
さて、いよいよ本題のパスワードの作り方について検討していくことにしましょう。
管理人は10年前から、自分なりのパスワード生成ルールを決めて、そのルールを基本に、新しいパスワードを作ってきたのですが、これがなかなかうまく行きません。
なぜうまくいかないかというと、サービスごとにパスワードに使える文字や文字数などの制限が違っていて、自分の生成ルールが当てはまらないことが出てくるからです。このような自分のルールではパスワードが作れないサービスに出くわしたとき、いつも頭を痛めます。そして、例外的な要素を加えてパスワードを作ってしまいますが、これが後にパスワードが分からない原因になるわけです。
生成ルールを運用する上で困ってしまう制限には、どんなものがあるかというと、
- 文字数制限:
何文字以上何文字以内という制限です。
これがサービスによりバラバラです。短いものでは6文字制限のところもあります。
- 文字種類:
これも実にいろいろなパターンがあります。英字のみ。英数必須。英数記号混在必須。大文字小文字混在必須....などなど
- 変更時の制限:
何文字以上同じではいけないというルールです。
これらに万能に対応できるパスワード生成ルールとなるとかなり難しいものになります。
難しいルールは、それ自体を憶えられなくなるので、単純なものが望ましく....難しい。
管理人の場合は、10年ほど検討してきて、ある程度のノウハウはできてきましたが、変更時の対応についてが、未だ発展途上です。
これは、10年の歳月をかけて(大げさな)管理人が編み出した、ほとんどのパスワード制限に対応できるパスワード生成法です。ある程度憶えやすいパスワードが作れると思いますので、これを参考に、あなたのパスワード生成法を考え出してみてください。
ます、基本的にパスワードを3つの部分に分割して作りだします。
【あなたが使うパスワード】=【パート1】+【パート2】+【パート3】
このように設計します。
それぞれのパートは、役割が違っています。
- パート1は、文字種制限に対応できるように作ります。
- パート2は、同じパスワードにならないように、そのサービスむけの言葉を使います。
- パート3は、パスワードの長さ制限に対応するために使います。
この役割分担がポイントです。
【パート1】の具体的な作り方です。
パート1では、パスワードの文字種制限をクリアするために、すべての文字種を入れた、文字列を作ります。
必ず含めなければならない文字種は、数字、英小文字、英大文字、記号の4種類です。
この4種類の文字種を入れますから、最短で4文字です。どの文字を選んでくるかはあなたのお好みで構いません。
ここで生成する【パート1】の文字列は、短くて構いません。あなたの全てのパスワードで共通して使いますから、できる限り記憶しましょう。また、忘れてしまった時の為に、安全な方法でメモしておきます。
<例>
- %Fg4
- D#m7
- @10Nin
こんな感じです。憶えやすいように意味を持たせるものでも問題ないでしょう。
この【パート1】は、パスワードの頭に持ってくると効果的です。理由は2つあります。
- 記号や大文字は前の方にあるほうが、パスワードとしては強くなる。
- 文字数制限が8文字の場合でも、確実に文字種を混ぜることができる。
ここで、例えばパスワードに記号が使えない場合はどうしたらいいのか?という疑問が出てきます。
これに対しては、「使えない文字は、省略する」 というルールを決めておけばOKです。
おすすめのソフトウエア
