登録しているネットバンクなどから定期的に来る、パスワード再設定のお知らせ。面倒くさいのでそのまま保留にしている人も多いと思う。また、うっかり忘れてしまうのを恐れて、すべてのパスワードを同じものにしている人も多いという。
乗っ取られるときはあっけなく乗っ取られてしまうものだが、パスワードがあまりに簡単で、全部同じだったりすると、SNSのアカウントから銀行のアカウントに至るまでまるごと乗っ取られたりする可能性がある。一度不正アクセスでもされたら大変なことになる。
そうならないためにも、ネット上での個人情報保護は強固なものにしておいて損はないだろう。今回は、そのためのパスワード作りに役立つ10のテクニックを見ていこう。
1. 超簡単なものは当然避ける
信じられないかもしれないが、「123456」や「password」、キーボードの丈夫左上配列「QWERTY」などといったパスワードが依然として一番多く使われているのだ。これはもう明らかに地雷だろう。ハッカーは辞書攻撃と呼ばれる、プログラムに単語と数字の組み合わせをしらみつぶしに試させる方法をとることもあるのだ。
2. 自分に関す文章を暗号に変える
ネットセキュリティの専門家であるロベルト・スィチリアーノが最近説明していたのだが、忘れにくいパスワードを設定するには自分に関する文の単語ごとの頭文字を拾って暗号を作るのがいいらしい。例えば「大学での親友は埼玉出身だ」という文なら、漢字は大文字、ひらがなは小文字で単語ではなく一文字ごとに頭文字を拾い「DGdnSYhSTSSd」と短くしてみるとか。
3. 文字と数字を混ぜる
パスワードは数字と文字と記号が混じったものでなければならないと設定されている場合がたまにあるだろう。しかしこれ自体にはあまり意味がなく、「Password1234!」なんてものも可能だったりする。そういうものを設定する代わりに、頭文字パスワードの右端や左端でなく真ん中で、文字を数字に変えてみたり数字を付け加えてみたりするといい。例えばさっき作ってみたパスワードをさらに強固なものにするなら、「DGdnSYhSTSSd」を「DGdn1440SYhSTSSd」に変えるとか。
4. 12文字以上にする
どんなパスワードでも突破される可能性はあるのだが、長いものになるとパスワード特定が困難になる。アルファベットの大文字小文字・数字・記号32種を自由に組み合わせた8文字のパスワードですでに6096兆通り近い組み合わせが存在するのだが、文字数を増やすごとにこの組み合わせの数の桁自体が増えていくのだ。
ジョージア工科大学の研究者によると、12文字のパスワードを突破するためには1万7134年もの歳月がかかるのだとか。これなら誰も突破しようなんて思わないよね。でも次の項目も注意だ。
5. なるべく同じパスワードを使わない
もしすべてのパスワードが同一のものだとしたら、一度でもどこかのパスワードを突破されてしまうとすべてのアカウントが危険に晒されてしまうことになる。定期的にパスワードを変え、昔使っていたものをもう一度使ったりパスワードを使い回したりしないようにしよう。
6. サイトごとに少しだけパスワードを変える
もし同じパスワードを使いたいなら、少なくともサイトごとに違う記号をいくつか付け加えよう。もしアカウントの一つに侵入されてもまだ安全なはずだ。3番で作ったパスワードだと、フェイスブック用に「FBK.」を付け加えて「FBK.DGdn1440SYhSTSSd」にすると「DGdn1440SYhSTSSd」の部分が繰り返し使える。
7. 基本的にログアウトしておこう
パスワードを入力したあとよく出てくる「パスワードを保存しますか?」の文。保存すると後々便利ではあるのだが、パソコンや携帯が盗まれたり侵入された際アカウントやデータに簡単にアクセスされてしまう危険が一番高いのだ。「remember me」や「保存する」といったチェックは外し、ログインの度にパスワードを打ち込んだほうが安全だ。
8. 二段階確認を導入するAdd two-step verification
Two-step verificationを加えることで、最強のパスワードをさらに保護することができる。この特徴は、ログインするために登録したアドレスに送られた認証コードを入力することだ。以下のサイトはこの機能をサポートしている。
9. バックアップは忘れずに
パスワードは覚えやすいものでなければならないが、いかんせん人間というのは忘れっぽい生き物。セキュリティの専門家ロベルト・スィチリアーノは、GoogleドライブやDropboxのような二段階認証に守られたプログラムにパスワードを入れたエクセルファイルを保存するよう提案している。さらに緊急事態に備え、安全な場所にプリントアウトした紙を保管するといい。もちろんパスワードを変えるたびにその紙を書き換えるのも忘れずに。
10. パスワード管理ソフトを使う
パスワードを安全に記憶するための一番簡単な方法は、パスワード管理ソフトを活用することである。こういったソフトは強力な暗号を使用しており、このソフト用のマスター・パスワード一つでパスワードやその他の情報入力とログインを自動でやってくれる便利なものもある。passwordboxやMaskMe、LastPassといったものがオススメらしい。日本の場合には、「パスワード管理アプリ」と検索すれば人気のアプリが検索できる。
via:You Can Create The Perfect Password・原文翻訳:such
▼あわせて読みたい
飲むパスワード?貼るパスワード?パスワードの未来
データの保存に大腸菌。大量に長期間データを保存する新たなメモリとして微生物が活躍する時代が!?(香港研究)
透視レベル?目で見た映像を脳から読み込み再現することに成功(米研究)
収益額から見る、世界最大の暴力犯罪組織トップ5
SFの世界がついに現実に!?最新の脳科学、10の進歩
コメント
1. 匿名処理班
KeePass使ってます。
もっと早く使えばよかった。
2. 匿名処理班
要するにこれでしょ → ttp://xkcd.com/936/
よく「辞書攻撃ガー」とかドヤ顔で語る奴がいるけどさ、1〜2ワードならともかく4ワード以上で辞書攻撃のリスクなんて無視しておk
というか、例え辞書攻撃に晒されてる状態でさえ、8文字のランダム英数字+記号より強度あるよ
だいたい普通に「correct horse battery staple」とするんじゃなく、「CorrectHorseBatteryStaple」とキャメルケースにするとか
「correct_horse_battery_staple」とかスネークケースにしとけば辞書攻撃もクソも・・・
3. 匿名処理班
0から9の数字に身の回りのガジェットの型番とか名称入れて
それを何個か組み合わせて、096とか数字+そのサイト名でやってる
管理ソフトとか仕組みわからないと信用できないわ
4. 匿名処理班
パスワード管理ソフトを使ったばっかりにいざ出先から使おうとしたらすっかり頭に無いでござるの巻
5. 匿名処理班
管理ソフト使った上にパスワード自動生成までさせてるから出先とかクッキーうっかり消した時とかもう何も出来ない
6. 匿名処理班
11.そして忘れない
7. 匿名処理班
俺は円周率表の場所だけ数字にして、メモにしっかり残してる
そのうち一部の数字をアルファベットに変換
基本的に覚えてるけど、忘れたら表を参照
8. 匿名処理班
パスワード管理ソフトをハックされたら全部わかっちゃうん
9. 匿名処理班
PCなら管理ソフトをUSBメモリに入れとけば良い
10. 匿名処理班
ウィンドウズのログオンパスワードを家に侵入されてHDDごとデータ複製して割り出されたことあるから、どれも無意味な気がする。ww
11. 匿名処理班
オーブリー・プラザ好き。
12. 匿名処理班
別のサイトで使っているパスワードを誤って入力した場合、管理側がそれを収集していればそこから漏れる可能性あるよね?
「6. サイトごとに少しだけパスワードを変える」も、FBK.DGdn1440SYhSTSSd が漏れたら GGL. YHO. KRP. なんてすぐに推測できるよね?
(´・ω・)考えすぎか
13. 匿名処理班
※12
前半は、運営業者のモラルに依存するね。
後半は、パスワードをそのまま保存していたらそうなるんだけど、
一般的には(教科書的には)最低限、一方向関数の出力を保存し、入力(パスワード)そのものは破棄します。
出力から入力(今回はFBK.DGdn1440SYhSTSSd)を推測することは非常に困難で、記事にある内容に繋がります。
14. 匿名処理班
パスワード管理アプリの入ったスマホを盗まれないことを祈る
15. 匿名処理班
総当たり攻撃されたらいつかは解除されてしまう。
16. 匿名処理班
※15
その総当たりをするのには12文字で1万7134年もの歳月がかかるって書いてるだろ
一般人は気にしなくていいけど、軍事で使われる暗号なんて総当たりで解こうとすると宇宙が始まってから今に至るまでより長い時間がかかるものも存在するよ
17. 匿名処理班
米12
クラッカーは、基本的にどこからか万単位のリストを手に入れて、
万単位のアタックを仕掛けることが多い。
よほどのVIPな人間とバレてでもない限り、
いちいち一つ一つのパスワードから、別のサイトのパスワードを予測するより、
次の万のリストの中の愚か者を探しに行ったほうが、向こうもはるかに時間を節約できる。
って点もあるね。
18. 匿名処理班
どうせまだ誕生日とか住所とか1234とか
使用してる人いるんだろうな・・・・(−▽−)
自分は素数・因数を掛け合わせた物を使う時が有ります
19. 匿名処理班
サイモン・シンの「暗号解読」を読んだ自分に死角は無かった。
20. 匿名処理班
本当に安全なパスワードが必要な人はこの記事に辿りつけないんじゃ…と思う。
この記事見てる人は親や子供に教えてあげたらいいんじゃないかな
21. 匿名処理班
一時から「このweb上にパスワードを保存しますか」っていうポップアップが出るようになったんだけど、あれどういう理屈で安全と言えるのかが分からない。詳しい人教えてください。仮にハッキングやPCを持ってかれたりでもしたら危ないよね。
22. 匿名処理班
嫌いな奴等の名前、絶対に忘れる事などない
例えば、○○の野郎殴りてえ→○○NOYAROUNAGURITE とか
昔々お爺さんとお婆さんとニートの長男が‥( 長いが簡単に覚えられて忘れない )
自分はコレです。
23. 匿名処理班
でも最近はHeartbleedとかクライアント側ではどうしようもないのが起きてるからなあ
今にネット世界自体を破壊できるようなバグが出てくるんじゃないか
24. 匿名処理班
>>2
そのリンク先の記述には非常に問題がある
神経科学的に単語の組み合わせのパスワードは、いくつか作った時点でランダム文字列の物より想起するのが困難になる
人間の脳は6~8文字よりも4単語を覚える方が難しい
よほど高い教育を受けていなければ選ばれる単語は全ての単語の中の極一部で普遍的な片寄もある
辞書はそういった統計情報を元に組まれるから強度がとても低くなる
これは古典的な換字暗号が脆いのと似た理由
単語の組み合わせのパスワードがダメと言われてるのにはちゃんと理由があるのに
25. 匿名処理班
「パスワードを保存しますか?」
は設定した後に解除できなくて困ることがある
26. 匿名処理班
今は「定期的にパスワードを変える」ってのはあまり意味がないとされています。それら以外はだいたいいい感じですね。
簡単でおすすめなのは、文字:大文字小文字(計 52 )、数字(計 10 )、記号(テキトーに 19 個 !"#$ など)を 9x9 のマス目にランダムに配置します。これはいっぱいコピーしておいていいです。
そのうえでサービスによって、スタートの場所左上からとかきめて、 4-2 スタートの右下へ桂馬とびとかのようにするのです。サービスごとにスタート場所と方向と読み出し方(桂馬とびとか)と文字数をメモしておけば、簡単で理想的なパスワードが作れますよ。もしパスワードが漏れても同じ紙でスタート場所か、方向か、読み出し方かを変えれば簡単に変えられます。
27. 匿名処理班
全部のパスを別のにする
難解な文字列にする
どこかが流出して変更が必要になる
どこをどう変更したか覚えていられなくなる
二度と開かない金庫の出来上がり
28. 匿名処理班
どんな難解なパスワードにしても
ロガーが入っていたら終わり
不正アクセスの恐れがあるので変更してくださいのメールとかも
本当に信じていいのか分からん
29. 匿名処理班
難解で孤独なパスワードとは再設定との戦い
サービスごとにルールが違い記号や文字数に制限がある中で
それらを全て記憶するのは不可能
どのサイトでどんな変換したかを覚えて置くのも同じ
かくして頻繁に利用するサイト以外は毎回再設定の手続きをすることになる
30. 匿名処理班
自分で覚えておけないパスワードなんて論外
よってパスワード管理ソフトなんてのも論外