No206 それでも短いパスワードは必要か?
前回は、サービス毎に違うパスワードを作る方法として、パスワード
管理ソフトを使う方法、自力で長いパスワードを使う方法について
解説しました。
今回は、それでも短いパスワードが必要となる場面がありますので
その作り方について解説します。
1. それでも短いパスワードが必要となるケース
前回も少し触れましたがパスワードの作り方には大きく分けて二つ
の方法あります。
一つは16文字以下の短いパスワードを作る方式で、もう一つは長い
パスワードを作る方式です。
前回は長いパスワードの作り方について解説しましたので、今回は
短いパスワードの作り方について解説します。
どうして短いパスワードの解説などする必要があるのでしょう?
これはサービスの事業者側の都合で16文字以下といった短いパス
ワードしか使えない場合の対策です。
さすがに最近は8文字以下などというサービスはほぼ見なくなり
ましたが、今も最大で12文字や16文字といったサービスは残って
いるようです。
そういったサービスを利用するためにも短いパスワードの作り方は
必要です。
2. 短いパスワードしか使えないサービス事業者は安全なのか?
本題に入る前に、皆さんにお願いです。
サイバー攻撃技術の向上により、短いパスワードが破られるリスク
は年々高まっています。短いパスワードしか使わせてくれないサー
ビス事業者は時代の要請に応えていないといえます。
そのような事業者はパスワードだけでなく利用者情報の保護、侵入
防止策といった情報セキュリティ対策全般も遅れている可能性が
否定できません。
となると、まず考えるべきは「本当にこのサービスを使い続ける
ことが必要か?」という点です。
他の類似サービスで代替できないか?利用頻度が低いならサービス
の利用自体をやめられないか?といった視点で考えてみてください。
それでもやっぱり必要という結論になれば、次にすべきはサービス
事業者への改善のお願いです。
サービス事業者にはお問合せ窓口がありますので、「パスワードで
指定可能な文字数が少なく、安全なパスワード付与が困難です。
パスワード文字数を50文字以上に増やしてください」などとお願い
をしましょう。
この類の要請は社内でマジメに検討されています。
パスワードの文字数変更は割と小規模な改修で済むと思われます
ので、受け入れてもらえる可能性は高いと思います。
受け入れてもらえれば、今回書こうとしているような短いパス
ワードを無理して使う必要がなくなります。
そうなれば誰もがハッピーです。
そうは言ってもシステム改修には期間が必要ですから、その期間は
短いパスワードを安全に使える方法が必要です。
3. ここでもパスワード管理ソフトが便利
前回、パスワード管理ソフトの紹介をし、パスワードの手作りに
こだわりがない方はこういったソフトを使うのもアリだというお話
をしました。
実のところ、サービスごとに違ったパスワードを少ない文字数で手
作りすると、十分な堅牢さを維持するのが大変です。
それに無意味な文字列をたくさん覚えるのもこれまた大変です。
こういった短いパスワードで堅牢さを維持することはパスワード
管理ソフトの得意領域です。むしろ長いパスワードの場合以上に
有意義と思いますので、パスワードをあずけることに抵抗のない方
は購入を考えてみてください。
4. 短くても堅牢なパスワードを作る方法
さて、それでも手作業でパスワードを作りたい方のために、短く
ても堅牢なパスワードの作り方を示します。
文字数が制限されているとしても、8文字以下は短かすぎると言わ
れています。2021年現在は12文字が最低ラインと考えてください。
ここでは12文字のパターンを例として示しますが、昨年(2020年)版
や一昨年(2019年)版よりもかなり手順を簡略化しています。
作る手順は、次の通りとなります。
1. ベースのパスワードを決める
2. サービスごとに使う文字を決める。
3. ベースのパスワードとサービスごとの文字を合成する。
以下に準に解説します。
5. ベースのパスワードを決める
まず、ベースとなるパスワードを考えます。
パスワード全体で12文字と考え、10文字をベースパスワード、2文字
をサービスごとに使い分ける文字、の合計12文字とします。
ベースパスワードは好きなコトバや数字を2つ以上組み合わせるて
ください。2つ以上を組み合わせるのがポイントです。
前々回も書いたように、パスワードが1つの単語だけだと、辞書
アタック(辞書に載っている単語を使ってパスワードを推測する攻撃)
に対して弱くなるためです。
例えばこんなのはいかがでしょうか。
(以下は'-'記号を入れていますが実際のパスワードでは不要です)
・ hasiru-1970 (走る+大阪万博の年)
・ kureo-um151 (隣人のペットの名前+手元のボールペンの型番)
・ 2510-bonchi (九九(にごじゅう)+好きなお菓子メーカ名)
ここでは数字と英小文字にしましたが、一部を大文字にするのも
良いでしょう。
さて、ここで作ったベースパスワードですが、ひょっとすると過去
に誰かが使っていて、既に漏洩してしまっているかもしれません
よね。念のため、それを確認しておきましょう。
No204で紹介した Have I been pawned ? のサイトで蘂べてみま
しょう。
https://haveibeenpwned.com/Passwords
問題がなければこれをがんばって暗記しましょう。
よくある、lE8qYc#z9.てな無意味な並びではないので、それほど
苦労せずに覚えられることでしょう。
6. サービスごとに使う文字を決める
上記のベースパスワードを使い、サービス毎の個別パスワードを
作っていきます。
具体的な方がわかりやすいですから、ここでは上で掲げた2つ目
のベースパスワード(kureoum151)を使いましょう。
そのため、まずベースパスワードに埋め込み用のスキマを空け
ます。(ここでは5文字目と6文字目の間に2文字分)
→ kureo__um151
このベースパスワードのスキマにサービス名(ご自分のセンスで
サービス名を2文字に短縮したもの)を埋め込みます。
例えば、twitterなら、twでもいいですし、ttでも、trでも何でも
かまいません。
これをベースのパスワードに埋め込みます。
twなら → kureotwum151
ttなら → kureottum151
trなら → kureotrum151
といった感じですね。
これがtwitterのログインスワードになります。
同様にgoogleへのログインであれば、サービス名をggに短縮すると
すると、
kureoggum151
となるわけです。
この方式では12文字という限られた文字数でサービスごとに違う
パスワードを設定することができます。
パスワードとしてもそこそこの堅牢さで、他のサービスへの横流し
もかなり難しいです。
覚えるのは、ベースのパスワードと埋め込みをする文字の位置だけ
です。
覚えるのが大変、万一のために記録しておきたいという方は
自宅や勤務先の机の中であれば、すべてを書いたメモを保管
してもかまいません。
なお、スマホや手帳にメモを残す場合は
ku***__ml***
などと、一部は伏字にしましょう。
でないと盗難などに合った場合、全てがバレてしまいますから。
7. 漏洩時のリスク
万全に思える方式なのですが、少しだけリスクがあります。
なお、以降の内容はまず起きそうにないシナリオなので、現時点
ではあまり心配する必要はないと筆者は見ています。
リスクというのは、2つ以上のサービス事業者側からパスワード
が漏洩した場合の問題です。
その両方のパスワードを比較されると、ベースパスワードとサー
ビスごとに変えている文字がどれかがバレてしまうという点です。
こうなると、他のサービスのパスワードも漏れたも同然ですので、
ベースパスワードから作り直しする必要があります。
これは確かにリスクなのですが、ここまで丁寧な解析を行ったと
いう事例を筆者は知りません。
(おそらく存在しないのではないかと思います)
少なくとも、現時点ではパスワードを使い回している人がまだまだ
たくさんいますので、犯罪者側が上記のような解析を必要として
いません。
これが本当に問題となるのは、パスワードの使い回しを誰も行わ
なくなり、犯罪者側が上記のような解析を行うようになって以降の
話です。
それがどれくらい先かはわかりませんが、2021年時点では大丈夫と
言えます。
8. まとめ
現在のパスワードのトレンドは3つ以上の単語をつないだ長いパス
ワードです。
ですが、サービス事業者側の事情などにより短いパスワードしか
使えないサービスもまだ残っています。
そういった場合は、長いパスワードとは違ったパスワードの作り方
が必要になります。
今回は、12文字と限定された環境でのパスワードの作り方について
解説をしました。
前回と同様に、短いパスワードでもパスワード管理ソフトは有能
で、短いパスワードのために購入しても良いくらいです。
一方、それでも手でパスワードを作りたい人に向けた手順を解説
しました。
パスワードについては、もう少しお伝えしたいこともありますので、
次回もパスワードの解説を続けます。
今回でおおむねパスワードについてのお話は終わりなのですが、
もう少し解説したいこともありますので、次回ももう少しおつき
あいください。
次回もお楽しみに。
このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html
この記事が気に入ったらサポートをしてみませんか?