No205 サービスごとにパスワードを変える方法
前々回にも書きましたが、パスワードはサービス毎に違うものに
する必要があります。
同じメールアドレスと同じパスワードの組み合わせを使っていると、
多数のサービスで同時多発的に被害に会う可能性が高まっている
からです。
今回は、いよいよサービス毎に違うパスワードを作る方法について
解説をします。
1. パスワード管理ソフトという考え方
パスワードというのは重要な情報であるのは確かですが、それ自体
はサービスを使う目的ではありません。
であれば、そんな本質的でないことに労力と時間を費やすのは物体
ないと考える方もおられるでしょう。
そういった方は「パスワード管理ソフト」を利用することもアリ
です。
ここでいうパスワード管理ソフトというのは、chromeやIEといった
ブラウザに以前から付いてるパスワードを覚える機能のこと、では
ありません。
それよりずっと賢くなっています。
・おすすめパスワードを教えてくれる。
・同じパスワードやユルいパスワードを警告してくれる。
・パソコン(PC)でもスマホでもタブレットでもパスワードを
共通で利用できる。
パスワード管理ソフトは有識者の知見を活かせますから、より安全
なパスワードを作り出せる点が大きな魅力です。
最近はブラウザでも同様の機能を実現しつつありますが、まだ専用
ソフトに一日の長がある印象です。
ただし、パスワード管理ソフトにはデメリットもあります。
自身の情報資産の鍵をソフトの販売元に預けることになります。
利便性と引き換えに情報を自分でコントロールできない部分が生じ
ます。
ですが、どんな方法を使ってもリスクゼロにはできないのです。
手作業でパスワードを作っても、それをうかつに公開してしまう
可能性は常にあるわけです。むしろプロが保全してくれる環境の方
が安心かもしれません。
と考えれば、現実解としてはパスワード管理ソフトの利用は決して
悪い選択肢ではありません。
もっとも、筆者は古い人間ですから手作業で作る方が好きなんです
けどね。
なお、パスワード管理ソフトを使うからといって、すべてを委ねる
必要などありません。
通常はパスワード管理ソフトに任せるけれど、自分にとって最重要
なサービスのパスワードだけは別にしておいて手入力、という分別
も良い選択です。
全てを自力でやるのは大変でも、数個程度に絞ってしまえば手運用
も十分に可能ですから。
2. パスワード管理ソフトの主要な機能
と、これだけではソフトのイメージがわきづらいと思いますので、
パスワード管理ソフトの主要機能を紹介しておきます。
・パスワードを記憶する機能
→言うまでもないですね。
各パスワードは暗号化した上でサーバ上に保管されます。
そのため、パソコン(PC)だけでなくスマホやタブレットで
も同じパスワードが共有できます。
・パスワードを作成してくれる機能
→これまた言うまでもないですね。
パスワードの文字数や使う文字種なども指定できます。
もちろん自分で入力するのも可能です。その場合はよく使われ
るパスワードでないことの確認もしてくれます。
・パスワードの重複確認機能
→自動生成ではほぼあり得ませんが、既存の他サービスのパス
ワードと重複があった時に警告してくれます。
・マスターパスワードの設定
→パスワード管理ソフトを使う時に必要となるパスワード。
このパスワードだけは自分で設定しなければなりません。
逆にこれがバレると大変です。
パスワード作成で困りそうな点はほぼ網羅されています。
さて、このパスワード管理ソフトですが、筆者としては是非有償
ソフトを使っていただきたいと思います。
ある意味一番大切な情報を守ってもらうのですから、それくらいは
おカネを使いましょう。
3. それでも自力でがんばりたい人のために
「がんばりすぎないセキュリティ」で「がんばりたい」ってのは
自己矛盾ですが、気にしないことにしましょう。(笑)
さて、「人様に自分のパスワードを預けるのはちょっとなぁ」と
いう方、筆者も同意見です。
筆者も基本的には全てのパスワードを手作業で作っています。
もちろん、それぞれのサービスでは独自のパスワードを設定して
います。
そのパスワードの作り方ですが、大きく分けて2つの方法を使って
います。
一つは16文字以下の短いパスワードを作る方式で、もう一つは
長いパスワードを作る方式です。
なぜわざわざ短いパスワードなどを作るかというと、サービス
事業者側が12文字とか16文字のパスワードしか認めてくれない
ものが今もあるためです。
とはいえ、今回は長いパスワード(おおむね20文字以上)の作り
方を解説しましょう。
4. そもそもパスワードを覚えられない理由
そもそも、パスワードが覚えやすいものであれば、こんな困ること
はないはずです。
ですが、パスワードと言えば、英字+数字+記号で無意味な文字列
とするのがベストとされてきました。
例えば
K7q#3i6P
だとか
h05-%vZDlt8w
といったものですね。
ですが、今時はサービス毎にパスワードを変えなければならない
ワケですから、こんな無意味なのを何十も覚えろといわれたって
無理です。
そのため、安全なパスワードの推奨パターンがガラリと変わって
きています。
それは「3つ以上の単語をつないで20文字以上の長いパスワード
にしましょう」というものです。
例えば
happy-connect-typhoon-plastic
だとか
polarbear-black-important
といったものです。
一見、それほど強いパスワードに見えませんよね?
ホントに大丈夫なのでしょうか?
パスワードを破ろうとする場合、攻撃者(=犯罪者)側が何の
前提情報も持たない場合はブルートフォース攻撃といって、
すべての組み合わせをしらみつぶしに試そうとします。
この場合、組み合わせがたくさんある方が見つけにくい=破られ
にくいパスワードとなります。
最初に掲げた
K7q#3i6P
と
happyconnecttyphoonplastic
の場合でどちらが強いかを比較してみましょう。
1)ランダムな8文字
文字種は英文字(52種)+数字(10種)+記号(18種)
としますと、
80 x 80 x 80 x 80 x 80 x 80 x 80 x 80=
1,677,721,600,000,000(1677兆)通り
2)単語を4つつないだもの
仮に攻撃側が辞書の単語の組み合わせであることを知っていた
とします。
小さな辞書でも5万語くらい収録されているようですから、
50000x50000x50000x50000=
6,250,000,000,000,000,000(625京)
通りとなります。
意外な結果ですが、ランダムな8文字より英単語を4つならべた覚え
やすいパスワードの方が組み合わせはずっと多いのです。
組み合わせが多い=強いパスワードですから、英単語を4つならべた
パスワードは十分に強いといえます。
上記では英単語だけのパターンを示しましたが、これに日本語や
フランス語、スペイン語といった別の言語の単語を組み合わせると、
さらに堅牢なパスワードとなります。
5. サービス毎にパスワードを替えても忘れない方法
さて、4つの単語をつなげば、十分に強いパスワードなることが
わかりました。
問題は、サービス毎に異なるパスワードを設定し、忘れずにすむ
方法です。
全くのランダムよりははるかに覚えやすいとはいえ、サービス毎に
無意味に抽出した4つの単語を覚えるってのはやっぱり大変です。
そこで、全パスワードのうち2つは共通、2つはサービス毎に違う
ものとしてはどうでしょうか。
これだけで覚える情報は半分になりますよね。
さらに、そのサービス毎に違う単語をルールにもとづいて決める
ようにすれば、ほとんど機械的な置き換えだけでサービス毎に
違ったパスワードがカンタンに作れます。
さて、その具体的な方法です。
A) あなたのお気に入りの単語を2つ決めます。
B) サービス名から任意の2文字を抜き取ります。
C) 上のB)で抜き取った文字2つをそれぞれで始まる単語に置き換えます。
D) お気に入りの2単語と上で作った2単語をつなぎます。
E) 最後にそのサービスの名前を付けます。
以上でサービス毎に必ず違ったパスワードが作れます。
6. パスワードの具体例
文字だけではわかりにくいので具体例でいきましょう。
まずは、amazonのパスワードを作ってみましょう。
A) お気に入りの単語
・rainbow(虹)
・otoboke(おとぼけ)
B) 2文字を抜き取り
ここではa とz を抜き取ることにしましょう。
※この辺は皆さんのセンスで決めちゃってOKです。
C) それぞれで始まる単語を決める
a= abandon(放棄する)
z= zoid (そういう名前のオモチャがあります)
D) 上の4つをつなぎます。
rainbow-otoboke-abandon-zoid
※並び順も自分で決めてください
E) サービス名を最後に追加
rainbow-otoboke-abandon-zoid-amazon
これがamazonのパスワードになります。
なんと35文字もの長さのパスワードですが、そんなに覚えにくくは
ないですよね。
次にtwitterでいってみましょうか。
A) お気に入りの単語
・rainbow(虹)
・otoboke(おとぼけ)
※これは共通ですから同じものです。
B) 2文字を抜き取り
ここでは t と w にしてみます。
C) それぞれで始まる単語を決める
t= tantanmen(担々麺)
w= warmer(ウォーマー。暖房器具)
D) 上の4つをつなぎます。
rainbow-otoboke-tantanmen-warmer
E) サービス名を最後に追加
rainbow-otoboke-tantanmen-warmer-twitter
これがtwitterのパスワードになります。
今度は40文字越えでしかもローマ字が入ってたりして辞書アタック
(辞書に載ってる単語ばかりを狙った攻撃)にも強いパスワード
です。
3つ目はウォルマート(walmart)でいってみましょう。
A) お気に入りの単語
・rainbow(虹)
・otoboke(おとぼけ)
※これは共通ですから同じものです。
B) 2文字を抜き取り
ここでは walmart のw と m にしてみます。
C) それぞれで始まる単語を決める
w= warmer(ウォーマー。暖房器具)
m= mention(メンション。言及する)
D) 上の4つをつなぎます。
rainbow-otoboke-warmer-mention
E) サービス名を最後に追加
rainbow-otoboke-warmer-mention-walmart
これがwalmartのパスワードです。
ここで、wの単語が、twitterの場合もwalmartの場合も同じである
ことに気付かれた方、鋭いです。
実はこれはサービス毎の2単語を忘れないための工夫です。
つまり、抜き取った文字が同じなら単語は常に同じにしておくの
です。
例えば、上で例示した3つのサービスなら
a= abandon
m= mention
t= tantanmen
w= warmer
z= zoid
となります。
これなら、最大でも26種類の単語をチョイスすれば、サービス毎に
異なるパスワードを機械的に決めることができます。
これを自分用のアンチョコとして、スマホに入れておいても問題
ありません。(もちろん手帳に手書きもOKです)
このアンチョコが盗まれたとしても、それだけではパスワードの
ルールはわかりませんから。
実際に筆者もこの方法でいろんなサービスのパスワードを作って
おり、かなりオススメできます。
みなさんも一度お試しください。
7. まとめ
安全にパスワードを使うには、2つの方法があります。
一つはパスワード管理ソフトを使って、有識者の知見をうまく使う
方法、もう一つは自力でがんばる方法です。
現在のパスワード管理ソフトはホントに良くできていて、パス
ワードにまつわる問題のほとんどがクリアできるものになって
います。パスワードで悩みたくない方にとっては福音でしょう。
一方、それでも外部にパスワードを預けるのは不安という方も
おられます。(筆者もその一人です)
そういう方に向け、筆者がここ3年程で改善し続けている忘れない
パスワードの付け方について解節しました。
この方法にしてから筆者自身も随分ラクにパスワード管理ができる
ようになりました。皆さんも是非使ってみてください。
パスワードについては、もう少しお伝えしたいこともありますので、
次回もパスワードの解説を続けます。
次回もお楽しみに。
このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html
この記事が気に入ったらサポートをしてみませんか?