読者です 読者をやめる 読者になる 読者になる

ゆきばた

ゆきばたの果てしない戯言

エンジニアが教える簡単で強いパスワードの作り方

たわごと

 

長澤まさみさん、北川景子さんをはじめとした

有名人のSNSなどに不正にログインしプライベート

画像を閲覧されるという事件がありました。

 

f:id:yukibata:20160529230448j:plain

 

犯人は、辞書攻撃といって

予想可能なパスワードをひたすら打ち込んで

ログインを成功しようとする手法を

とっていたようです。

 

辞書攻撃とは何かはコチラの記事をご覧ください。

blog.yukibata.com

 

実際に、何人もの芸能人の方のアカウントで

ログインが成功したと述べられていますが、

その背後で、何百人から何千人という一般の方の

アカウントにもログインが成功しています。

 

安全なパスワードとは

 

とある調査結果によると、

十分に安全なパスワードを設定している人

全体の10%にも満たないと言われています。

 

英字と数字を組み合わせるといった場合

その数字が誰かの誕生日であるという方も

多いのではないでしょうか。

 

パスワードの複雑さと忘れやすさは比例します。

つまり、簡単なパスワードは覚えやすいですが、

複雑であればあるほど覚えにくいのです。

 

f:id:yukibata:20160529230741j:plain

 

おそらく誰もが1度は、パスワードを忘れてしまい、

再設定など面倒な経験をしたことがあると思います。

そういった、苦い経験から

「覚えやすい」という観点からパスワードを

設定してしまいがちになってしまうのです。

 

一般的に言われているパスワードの作り方

 

ITジャーナリストなどが、パスワードについて

警告を出している記事を良く見かけます。

彼らの推奨するパスワードの条件は

 

・8文字以上で設定するべし

・意味のある文字列の設定は避けるべし

・全てのアカウントで別のパスワードを設定すべし

・記号などの特殊な文字を使うべし

 

のようになっています。

 

確かにこれらを全て網羅できれば、

強いパスワードになると思いますが、

「覚えられない!」「忘れちゃうかも!」

というみなさんの悩みは払拭できませんね。

 

f:id:yukibata:20160529230909j:plain

 

パスワードを強くする方法

 

おそらくですが、

単なる文字列であるパスワードであっても

長い間使っていると愛着が湧いている人も

いると思います。

 

そこで

全く新しいパスワードを作り直すのではなく、

いま使っているパスワードを強くするという観点

ご紹介したいと思います。

 

たとえば、rupinthe3rd (ルパン三世)という

パスワードがあるとします。

このパスワードを強くしてみましょう。

 

よくあるのが

・似た他の文字をあてる

・大文字を入れる

というやり方です。

 

似た他の文字をあてる場合 rup1nthe3rd

大文字を入れてみる場合 RupinThe3rd

となります。

 

確かに人間の目で見ると

複雑度はアップしたように見えますが、

実はこれ、コンピュータからすると

そんなに強くなっていません。

 

プログラムを使って突破する人に対しては

ほとんど無効といっても良いと思います。

 

重要なポイントは

意味のある文字列を避けるということです。

rupinthe3rdというパスワードは

rupin the 3rd という意味のある文字に

分割が出来てしまいます。これが危険なのです。

 

コンピュータが分割を試みたときに、

意味のある文字にならないことが重要なのです。

 

そこでご紹介する手法が、

全く関係のない箇所に関係の無い文字を差し込む

という方法です。

 

え、なぜそこにそんな文字を入れるの?

という箇所に、意外性のある文字を入れましょう。

 

rupinthe3rd の場合

ru9pinthe3rd のように9という1文字を入れるだけ。

 

これで、パスワードの強さはグッとあがります。

2箇所くらい入れることが出来れば、

人が覚えられるパスワードの中でほぼ最強レベル

といっても過言ではありません。

ru9pint&he3rd など。

 

覚えられる範囲でよいと思いますが、

最低1箇所は入れておくだけで

強いパスワードという部類に入ることが出来ます。

 

f:id:yukibata:20160529231141p:plain

 

共通のパスワードにするべきか

 

絶対とは言いませんが、

サービスごとに分けることを推奨します。

 

なぜなら、

ハッカーがセキュリティ対策の弱い

AというサービスからIDとパスワードを

盗み取ることに成功したとします。

 

もし、Amazonでも同じIDとパスワードを

使っていたら、ハッカーはそのIDとパスワードで

他の何人ものアカウントになりすまして

買い物が出来てしまうからです。

 

この対策として、私の場合

サービスの名前の最後の1文字を

パスワードに混ぜ込んでいます。

 

Twitter なら ru9pinthe3rdR

Facebook なら ru9pinthr3rdK

 

という感じです。

こういった少し手間で、格段にパスワードの

強さはアップします。

 

つまり、ポイントは

関係の無い箇所に不意に文字を入れる

サービスごとに自分のルールで文字を入れる

となります。

 

この両者をいっぺんに実施しても良いと思います。

 Twitter は ruRpinthe3rd

 Facebook は ruKpinthe3rd

こうすれば、3文字目はサービスの末尾文字

と覚えるだけで、

 脱・意味のあるパスワード

 脱・サービスごとに同じパスワード

を達成することが出来ます。

 

単純なパスワードを設定している方

全てのサービスで同じパスワードを設定している方

 

是非、参考にしてパスワードの再設定を

ご検討ください。

乗っ取られてから後悔をしませんように!

 

 

おわり

 

 

[ImageFrom]
http://null-byte.wonderhowto.com/forum/hacking-and-you-various-shades-hackers-0155164/
http://www.catholic365.com/article/2689/the-principle-of-double-effect-part-4-proportionality.html
https://understandingrelationships.com/she-forgot-about-our-date/21506
http://wersm.com/are-social-media-platforms-becoming-too-complicated/