増えるパスワードを管理する 安全なパスワードを作るには?

  • 2021年6月5日
  • IT
IT password

個人情報の流出を良く聞くようになりましたね。
今、あなたが使っているパスワードはいくつありますか?
20?30?
スマートフォンを使い始めてインターネットで気軽に買い物が出来たりと便利ですがネットで何かやろうと思うと作らなければならないのがIDとパスワードです。
30以上のサイトを使っているのは「もはや当たり前」です。
悩ましいのがそのたびに考えなければならないのが「パスワード」です。
そんなパスワードについて考えて行きます。

増えるパスワードを管理する 安全にパスワードを作るには?

現在、大手のネットサービスを使おうとすると2段階認証が求められます。
これはかなり強力で携帯電話の電話番号を登録しておくとSMS(ショートメッセージサービス)で6桁ぐらいのランダムな数字(ワンタイムパスワード)が送られてきます。
このワンタイムパスワード(一時的に生成される使い捨てのパスワード)を入力する事によりログイン出来ます。
2段階認証はかなり有効な手段ですがこれに甘えてパスワードを疎かにするのは良くありません。
最近ではパスワードに名前や誕生日などが入っていると「変更してください」と促される場合もあります。
英数小文字+数字だけだでも「大文字を含めて下さい」と言われる事も多いです。

安全にパスワードを作るには?

ここに山田太郎さんが居るとします。
彼の誕生日は1985年10月10日生まれだとします。
多く考えられるパスワードが「taro1010」です。
これだとパスワードとは言えません。

パスワードを作るのに使ってはいけないワードがあります。

  1. 名前をそのままパスワードに含める(妻や恋人の名前、子供なども含める)
  2. 数字に誕生日、電話番号、住所の番地など、結婚記念日、子供の誕生日、安易な数字「1234」など

これらは避けるべきです。

なぜ避けなければいけないのか?

誰でも推測できるからが答えになりますが悪意のある人からしたら上にあげた例から推測してしまえるからです。
これらの組み合わせで作っているパスワードはパスワードと言えない程脆いと覚えておいてください。

しかし30ものパスワードをすべて別にして覚えられる方は少ないです。
そこで誰でも安全なパスワードを作る方法を考えてみましょう。

安全なパスワード

筆者の実体験として過去に記事にしているので参考にして下さい。
LINEのIDパスワードが漏れた時の実体験です。

関連記事

二段階認証について色々書いてきましたが今回は「LINE]のお話です。3~4年前にLINEの不正ログインのニュースなどをよく見ましたよね。友達がLINEアカウントを乗っ取られて「プリペイドカードなどを買ってきて欲しい」と要求を[…]

LINE-security

安全なパスワードで良くECサイトなどでパスワードを作るときにランダムなパスワードを生成してくれる場合があります。
これは便利ですが反面、自身で覚えられないパスワードになりどうしてもメモする必要があります。
アナログにメモ帳(パソコンやスマートフォンのメモ帳ではありません)に覚書するのも一つの手段です。
鍵のかかるデスクに入れておけばそれでOKです。
ただ自分で覚えられないパスワードは使う時に不便です。

後、同じパスワードの使いまわしは厳禁です。

法則を作る

パスワードに法則を作りパスワードを作れば自身で覚えられて便利です。

法則を作るには「自分で一定の法則を作って下さい」。下のは例です

  1. アルファベットに必ず大文字、小文字を使う。
  2. 自分にしかわからない思い出の数字を考える。(絶対に忘れる事が無い日にちで自分だけが分かる数字、誰にでも人生で自分だけの嬉しかった日にちはあると思います)
  3. 記号を含める(これは@%&#+などですが使えないサイトもあるので実際にサイトで試してみるしかありませんが記号を含めるとかなり強力なパスワードになります)
  4. 好きな映画のタイトルやアーティストなどを決める。

例として上の法則に従って考えてみます。
筆者の例として考えてみます。

好きな映画「wild speed」ワイルドスピードの映画は大好きです。ポールが居なくなって寂しいですが。
初めて一人で自転車で北海道を1周した日「7月26日」
この2つでAmazonのパスワードを作ります。

単純に考えれば以下になりますが脆弱です。
wildspeed0726ama

ここに法則を考えます。
「wild speed」を切り離して3文字目だけ大文字にします。
wiLdama0726spEed
さっきよりは良いですが記号がありません。
記号入れて考えます。

wiLd@ama&-0726+spEed-
ここで重要なのは「@ama&-」の以外の部分です。
30以上のパスワードを頭の中だけで覚えられる人は居ません。(天才なら別ですが、、、)
「@ama&-」の部分は楽天市場なら「@rak&-」になります。(ここをサイト名パスワードとします)

ここでの法則は「1つ目の文字列の3つ目は大文字」
「登録するサイト名3文字の前には@、後ろには&-を入れる」
「サイト名パスワードの後ろに数字を入れる」
「2つ目の文字列の3つ目は大文字で前後に記号を含める」
「サイト名パスワードにはサイト名3文字の前後に記号を入れる」

本来であれば「文字列はランダムが好ましいです」
しかし覚える事が出来なければ無意味です。
上のは例なので自分で法則を作ってみて下さい。
サイト名パスワードはもっと複雑なのが好ましいです。

パスワードの管理

自分だけの法則を作れば管理する必要は無いですがどうしても忘れてしまった時にアクセス出来なくなると困ります。
そんな時のために良くあるのが「パスワードの再発行」です。
メールアドレスさえ入力すれば良いですがそれでも心配な方は一番オススメなのがアナログな「手帳」です。
特にGoogleのアカウントなどは「バックアップ コード」が10個あります。
これを頭の中に覚えておくのは不可能に近いです。
鍵のかかるデスクにメモした手帳をしまっておくのも手です。
スマートフォンでスクリーンショットで保存したりメモ帳にコピペするのは止めた方が良いです。
なぜなら他のアプリからアクセス出来るからです。
次はパソコンのマスターパスワードで見られるメモ帳やパスワードソフトですね。
インストールしなくても単独で起動できるものがベストです。
心配ならそのソフト自体を更にパスワードで暗号化出来るからです。(暗号化ソフトは色々あるので調べてみると良いでしょう)
インストール型のソフトはそれが出来ないのでオススメはしません。
今回のは法則を作ってパスワードを生成しているので簡単なアナログな手帳がベストです。

なぜパスワードが漏れるのか?

なぜ悪意の第三者にIDとパスワードが漏れるのか不思議ですよね?
以下が考えられます。

  1. 単純にどこかのサイトから個人情報が漏洩した。
  2. パスワードを使いまわしていたために別のサイトの漏洩から推測されて違うサイトでログインされた。
  3. パスワードが脆弱だったためにブルートフォースアタック(総当たり攻撃)で特定された。

ブルートフォースアタックについて説明します。

ブルートフォースアタックとは(Brute Force Attack)の文字の意味から見ても「無理やり」に人間の手で打ち込むのではなくパソコンなどで全ての組み合わせを試みてパスワードを突破する手法です。
ソフトウェアで攻撃をするのでパスワードが簡単なほど解析されやすいです。
よく例えられるのが自転車などのチェーンロックの4桁のダイヤルです。
数字4桁のチェーンロックは4桁の数字なので0000~9999のすべての組み合わせを試みてパスワードを特定します。

ブルートフォースアタックでは辞書などの単語を組み合わせて攻撃をするので単純な文字列や数字だけだと突破されやすい傾向があります。
しかし簡単な単語や数字を総当たりで攻撃するので大文字や記号などを含めると強固になります。
攻撃者も「簡単なパスワードを標的」にしているのでわざわざ強固なパスワードを解くために時間はかけません(大企業など特定の情報を抜き出すためなら別ですが個人の特定に時間を割くのは考えにくい)

パスワードを3回失敗するとしばらくログイン出来ないサイト(特に銀行など)がありますがすべてにおいて完璧はありません。
パスワードの使いまわしや簡単なパスワードの方が危険です。

2段階認証やパスワードの失敗回数でログイン出来ないサイトがあってもそのどちらも無いサイトに使いまわしたパスワードを使っていると別のサイトでもログインされてしまいます。

まとめ

パスワードに法則を作って大文字、小文字、記号、数字を使って強固にすれば覚えやすくてパスワードの使いまわしも無くなります。
今回紹介したのは一例なので自身で法則を作ってパスワードを作れば良いと思います。
ただサイト名パスワードは万が一どこかのサイトで個人情報が洩れると推測されやすいのでサイト名パスワード以外の部分も何かしらのサイトに関係するが推測しにくい記号なりを追加した方が良いかもしれません。
Amazonならパスワードの最後に文字列の最後に「n」を追加するなど。
その辺りは色々考えてみるのも良いかもです。
筆者はマスターパスワードが無いと開けないメモ帳を更に暗号化して保存しています。
どうしてもコピペしたいんですよね。ただスマートフォンでは一切アプリやメモ帳などでパスワードは管理していません。
スマートフォンの性質上暗号化されていたとしてもアクセスされる可能性があるからです。
外出先でどうしても仕方なくパスワードを生成しないといけない時もあります。
その時は「別の覚えやすいパスワードを一時的に作って」家に帰ってからパスワードをパソコンなどで変更します。
この時だけは法則は無視します。 (法則を見破られたくない為)
後、2段階認証があるサイトは必ず2段階認証を有効にして下さい。
パスワードは定期的に変更すると良いですがそこは御自身の判断で考えてみて下さい。(筆者が良くやるのは文字列の入れ替えですね)
一番困るのが2段階認証に対応していないサイトやアプリです。
こればっかりはどうしようも無いので別の法則でパスワードを作っています。
代表的なのが楽天市場ですね。(執筆時点)
楽天市場については過去に書いていますので参考にして下さい。

関連記事

楽天市場は二段階認証に対応していないのは今まで書いてきましたが楽天市場のセキュリティは大丈夫なのか?と気になってしまいますよね。WEBサービスでは当たり前になっている二段階認証。日本の大手ECサイトである楽天市場が対応しない[…]

クレジットカード
パスワードは法則を作れば結構簡単に覚えられて強固になります。
一度パスワードを見直してみて下さい。
参考になれば幸いです。