ボクが考えた最強のパスワードの決め方(覚えやすく、破られにくい)
タイトルはふざけていますが、私が実際に何年も使いながら変えていった、真面目に考えた方法です。
サイト(サービス)から求められる、パスワードの条件
・半角であること
どこのサイト(サービス)でもそうですが、もし全角で入力出来ても、半角の方が良いでしょう。全角で入力出来るところは、自分は知りません。
・文字の種類
数字(0~9)・英字大文字(A~Z)・英字小文字(a~z)・記号($#!?など)
これらすべてを求められるサイトは少ないですが、どこもこれらの組み合わせです。
また、記号を含めなければならない、またはその逆、のサイトがあります。
※サイトによって異なります。強制されるので面倒な話です。すべてのサイトで記号が使えればいいのに。。
・文字数制限
サイトによって、パスワードの文字数に制限があります。
6文字、8文字、16文字、20文字、それ以上
私の経験上、上記のパターンに大体当てはまります。
※お金を扱うような、パスワードを知られると危険なサイトで
も8文字くらいしか入れられなかったりします。改善して欲しいものです。
・英字(数字?忘れました)で始まること(最初の文字が英字または数字)
※ごく一部ですがこういうサイトもあります
パスワードとして大事なこと
・1つ覚えるだけで良い
・あまり長くない
パスワードが長いと、例えば、慣れないスマホ・パソコンなどで入力する時大変です。
・サイト毎に違うパスワードにする
・リアルで使っているパスワードと同じにしない
銀行のATMで使っているパスワードなどと同じにしないこと
・個人情報(もしくはその手がかりになる情報)をパスワードに含めない
・忘れても、思い出す手がかりがある
「基本パスワード」を決める
サイトに求められる「パスワードの条件」と「パスワードとして大事なこと」を満たすパスワードにします。
・「半角であること」
半角のサイトばかりなので、半角にします。
・「文字の種類」
これを満たすため、なるべくそれらの文字種を含むようにします。
ただし、記号は使用可能・不可能なサイトがあるため、基本パスワードには含めません。
・「文字数制限」
6文字、8文字のサイトは、文字数が少なすぎてかなり破られやすいです。パスワードを工夫してもほとんど効果が無いと思います。なので、その長さは気にしないことにします。
ずばり、16文字から20文字くらいにしましょう(多いと思ったら減らしてもいいですが、全然おすすめしません)。
「英字(数字?忘れました)で始まること」は、どっちだか忘れました。でも大体のサイトは、英字・数字どちらでもOKなので、気にしないことにします。
「1つ覚えるだけで良い」「あまり長くない」
これらは、楽だから、ということもありますが、パスワードを忘れるリスク(そのサイトが使えなくなるなど)などの理由から重要でもあります。
「サイト毎に違うパスワードにする」
まあ、これはいちいち覚えてられないので、サイト毎に特定のパターンで決めます。
「リアルで使っているパスワードと同じにしない」
パスワードがバレる=銀行のATMのパスワードがバレる。これやばいですよね。だからリアルで使っているパスワードとは別にして下さい。
「個人情報(もしくはその手がかりになる情報)をパスワードに含めない」
パスワードがバレる=個人情報が一つ手に入る、なんて危険です。誕生日や名前を使うなんてダメです(逆順にしてもダメです)。
特に上記2つの条件を満たすとなると、自分と全然関係無いもの、が理想です。でも、それだとあまりにも覚えづらいので、バレてもごく一部の人しかわかない程度の好きなものとかにしましょう。
「忘れても、思い出す手がかりがある」
最初は決めたパスワードをなかなか覚えられません。なので、ネットで検索したら出てくるようなものがいいです。もちろん、出てこないものの方が良いんですが、そこら辺のリスクは別の方法で回避します。
例
例として、1つ作ってみます。
(1)基本となる英小文字を決める
「臨兵闘者皆陣烈在前」(りんびょうとうしゃかいじんれつざいぜんと読みます)
「忍者が好きで、忍者が言ったりするこの言葉がかっこいい」なんて思ってこれにしました。別に「ポリダクティル・キャット」(猫の品種だそうです)でもいいですし、可愛い花言葉(オトギリソウ)でもいいです。
でも、
自分が普段「好き」と言っているようなものにはしないで下さい。そこから少しずらして下さい。
自分は、忍者かっこいいなーとは思うけど、「臨兵闘~」とはめったに言いません。実際は、好きなマイナーアニメに出てくる全然有名ではないセリフにしています。
好きな花言葉があるなら、その花言葉を使用した俳句(でもその俳句は普段口にすることは無い)などにします。
例を続けます。
英字小文字で書くと
「rinbyoutousyakaijinretsuzen」
となります。
※「rinbyoutoushakaijinretuzen」と書いてもいいです。自分がいつも入力する感じが良いです。
なぜ小文字かと言うと、スマホでもパソコンでも、大文字入力するには一手間かかるからです。楽な方が良いですから。
(2)英小文字に数字を混ぜる
単純な単語だけだと、簡単にパスワードがバレます。辞書攻撃と言って、辞書にある単語(日本語・英語などの単語をローマ字に変換してログインしようとする)で片っ端からパスワードを破る方法があるので(※1)。なので、数字を混ぜます。
「rinbyoutousyakaijinretsuzen」
→「r1nbyou10syakaijinretsuz3n」
例では、「i」→「1」、「tou」→「10」「e」→「3」に変換しています。
形が似ている数字(iと1、e は大文字 E を左右反転させると 3 になります)
読み方が似ている数字 ( tou → 10 を日本語で「トオ」 ( tou ) とも読みますね)
に置き換えるわけです。
特に良いのは「tou」→「10」のような、日本人にしかわからないような置き換えだと思います。
こういう置き換えはネットでは割と?あります。例えばメールアドレスなどは、他の人に使われていることが多いので、こうしたりします。
※1 実際には数字を入れても「総あたり攻撃」と言って、英数字記号の全部の組み合わせをを全部試してくる攻撃もあるのですが。それはパスワードを長くすることで防ぎやすいです。
(3)数字を決める
何か思い入れのある数字(でも誕生日とかはダメです)にします。英小文字の時とは別のものから決めて下さい。また、これも自分が普段「好き」と言っているようなものにはしないで下さい。そこから少しずらして下さい。
例えば、マイナーな自分の好きな曲の発表年とかにします。パンダが好きなら、レッサーパンダが発見された年(1821年。昔「パンダ」と言えばこのレッサーパンダだったそうです)にします。自分が好きな数字に1足しても良いです(自分が好きな数字は、普段言ってしまうのでダメです)。
自分は、好きなアニメ(複数)でたまに出てくる年号(ただし、有名ではない)にしてます。わかる人にもちょとわからないものです。
例としては、レッサーパンダが発見された年、1821年にします。
「1821」
にします。
(4)英小文字と数字を合体させる
「r1nbyou10syakaijinretsuz3n」と「1821」を合体させます。後ろがいいです。
なぜかと言うと、極端な例で言えば、パスワードが数字1文字しか入れられないサイトの場合、最大数字10個を試せばパスワードが破られます。英字なら最大26個を試す必要があります。2文字しか入れられないと、10x10=100個、英字なら26x26=676個となります。
ということで、
「r1nbyou10syakaijinretsuz3n1821」
にしました。
(5)長さを調節
「r1nbyou10syakaijinretsuz3n1821」
もちろん、この長さでも良い!という人はこれで良いですが、自分的には長いです。入力が大変すぎる。
よって、英字部分(数字含む)「r1nbyou10syakaijinretsuz3n」を削って短くします。数字と合わせて16~20文字くらいにします。
「r1nbyou10sya1821」
これで16文字になりました。ここで大事なのは、英字部分に含む数字(1と10)が削られていないことです。もし削られてしまう場合は、なんとかして数字を入れましょう。
これで基本となるパスワード完成です!。これをなんとか覚えましょう!
紙に書いたりしないで下さい!せっかく覚えたパスワードが無駄になります(忘れたら検索すれば良いのです)。
「サイト毎に異なるパスワード」を決める
「基本となるパスワードを決める」で決めたパスワードに、サイト毎に異なるパスワードを足します。
サイト毎に違うパスワードをいちいち覚えるのは大変なので、パターンで決めます。
例えば、
読みの母音(ぼいん)
にします。
Yahoo →ヤフー→Yahuu→auu
これを「基本となるパスワード」(例:「r1nbyou10sya1821」)の後ろにつけて
「r1nbyou10sya1821auu」
とするわけです。
文字数制限があるサイトの場合は、独自のルールで決めます。
例えば8文字制限なら
「r1nbyou1」先頭から8文字
「r1nbyauu」auuを含めるように「基本パスワード」を削って8文字
などです。この独自ルールは統一すべきです。そうしないとあとで混乱してパスワードがわからなくなります。
これでサイト毎に異なるパスワードに出来ます。
記号が必要なサイト
記号が必要なサイト(もしくは、不要ではあるが、安全のために使用したいと思った時)は、「サイト毎に異なるパスワード」の、最後に記号をつけます。記号はあらかじめ「$」のように決めて置くと良いでしょう。
Yahooなら
「r1nbyou10sya1821auu$」
のようにします。どれが記号として扱われるか不明で確認が面倒なので、私は「$」を使用しています。
なお、このパスワードは20文字になります。20文字制限のあるサイトでは使用出来ないので、その場合「$」が入るように「$」の後ろを削って下さい。
以上が私の考えた最強のパスワードです(笑)
ここまで長文だったので、もし疲れたならばブックマークでもして、明日にでも読んでみて下さい。次の「2段階認証」はとても大事なことです。
2段階認証を使用する
ここからは、タイトルとは少しずれた話ではあるんですが、とても重要なことです。
実は、ということでもないのですが、ここまで書いた方法を使っても、どんな方法を使っても、パスワードは破られます。これはどうやっても防ぎようがありません(複雑で長いパスワードでも、確率を減らせるだけです)。自分は Facebook で破られました(2段階認証していたのでアカウント(※1)を盗られることはありませんでした)。
そこで大事なのが2段階認証です。
パスワードの後に、さらにもう1つ認証をします。面倒に思えますし実際面倒なサイトは多いです(Googleは簡単です)。でも、
・銀行・クレジットカードなどのお金関係のアカウント
・ネット上でメインで使っているアカウント
には必ず設定しておきましょう。
お金関係が重要なのはわかりますが、メインで使ってるアカウントとは?
例えば私の場合、Google で下記のものを使用しています。
メール( gmail )
動画鑑賞(どうがかんしょう)、配信 ( Youtube )
画像・動画の自動バックアップ( google フォト )
メモ( google keep )
カレンダー( google カレンダー )
その他、文章作成( google document )・表計算 ( google sheet )
など、様々なことに使っています。
この他に Google アカウントを使って様々なサービスにログインしています(そのサービスのアカウント作成時に Google マークをクリックすれば、パスワード入力無しでアカウント登録出来ることもあって便利です)。
ということで、自分の場合 メインのアカウントである Google のパスワードを盗まれる(アカウントを盗られる)と大変なことになるわけです。
大抵はスマホなどで専用のアプリを起動して、そこに表示される数字を入力したりします。でも Google はスマホの電話番号を設定すると簡単です。
---- Google の例 -----------------------------------------------------------
やり方を Google の例で書きます。
これがやり方の説明です。
以下の画面でログインして、左の「セキュリティ」をクリックして「2段階認証プロセス」をクリックして設定出来ます(多分、上で書いてあることと同じです)。
設定が終わったら、一度ログアウトして、ログイン画面で「パスワードを忘れた場合」などをクリックして、実際に確認しておきましょう。
スマホで「はい」をタップするだけで2段階認証が出来ます(簡単)。
※Googleの回し者みたいに、Googleいいよって感じで書いてますが、ただ単純に便利です。他にいいサービスが欲しい(バックアップとして)のですが、代わりはなさそうです。。
※1 アカウントとは、ユーザー名とパスワードを登録したらもらえる、そのサイトの会員証みたいなものです。それが無いとそのサイトを使えない場合があります。
※2 段階認証は、「多重認証」の1つで、3段階認証、4段階認証なんてのもあります。でも普通は使わないし、使えるところがまずないです。
--------------------------------------------------------------
パスワードを忘れた時のための設定
パスワードを忘れても、アカウント登録時のメールアドレスを使って、パスワードをリセット出来るサイトが多いので、それを利用すると良いです。
具体的には、ログイン画面で「パスワードを忘れたとき」のようなリンクがあるので、クリックして登録した時のメールアドレスを入れれば、パスワードリセットのメールが来ます。
ですが、大事なサイトは、アカウント登録した時に設定しておきましょう。
設定していないならば、今すぐに。
Google でも出来ます。というか Google はかなりそのための方法がそろっています。
実はさっきの2段階認証の画面で設定出来たのですが…趣旨から外れることと、重要度からこの位置に書きました。
以下の画面で
再設定用電話番号
再設定用のメールアドレス
を設定します(既に登録されているかもしれませんが…)。
この時に大事なこととして、他のサービスのメールアドレスを設定することです(自分は忘れていて今設定しました…)。
例えば Yahoo(ヤフー)です。Yahooにもアカウントを作って、Yahooのメールアドレス(私の場合は yomox9@yahoo.co.jp ) を設定します。
Googleのパスワードを忘れたのに gmail ( Google のメール )使おうとしても、ログイン出来ない(メールが届いても読めない)ので。
ブラウザに覚えさせているから大丈夫でしょ?という人がいるかもしれませんが、そのパソコンとかスマホがぶっ壊れたらどうするんですか?
-------------------------------------------------------------------------
さらに気をつけておくなら
メインアカウントのパスワードと、お金関係のパスワードには、「基本パスワード」とはまったく別のパスワードを設定することです。既に作った「基本パスワード」とは別の「基本パスワード」を作り、設定します。
覚えなきゃならないパスワードが増えて大変ですが。設定するなら、メインとお金、この2つだけ(合計3つ)でも設定したいところです。
パスワード入力(運用)で気をつけること
・たとえ自分のパソコンであっても気をつけたいこと
2段階認証の設定出来ないサイト(していないサイト)は、ブラウザ(クロームとかエッジ)にパスワードを保存しない(覚えさせない)。
他人がこっそり使用したり、ウイルスにパソコン乗っ取られたりした時に、するするっとそのサイトを開いて、パスワード変更されて(しかも、パスワード忘れた時のメールアドレスも変更されて)乗っ取られちゃいます。
ブラウザが覚えたパスワードを忘れさせる(消す)方法
Chrome(クローム)右上の「︙」→設定→自動入力→パスワード→消したいサイト右横の「︙」→削除。「パスワードを検索」で検索も出来ます。
Microsoft Edge 右上の「…」→設定→パスワード&オートフィル→パスワードの管理→消したいサイトの右横の☓を押す
・他人や外(会社・施設など)のパソコン・スマホ・タブレットを使用する場合
ブラウザをシークレットモードで起動して使用し、使用後は閉じておきます。
シークレットモードでネットすれば、履歴などの情報が残りません。パスワードなどは毎回入力しなければなりませんが、安心して使えます。最初からシークレットモードで起動する方法もあるようです。
Google chrome ( グーグルクローム ) は、ctrl+shift+n でシークレットモードのウィンドウが開きます。
Microsoft Edge は ctrl+shift+p です。
パスワードがバレちゃったら?
経験でしか語れないのですが
Facebookでは
「普段使用しているものとは異なるデバイスや場所からの不審なログインが検知されました。あなたが実行したものですか?」
というメールが来ました。見に覚えの無い場所(超外国)でした。
また Twitter では、「パスワードがバレた可能性があるから変更してね」という意味のメールが来たこともあります(数回)。
バレちゃった(もしくは可能性がある)ならすぐに変えましょう。
バレた可能性だけの場合は、パスワードの後ろに何か足します。Twitterは何回もそういう連絡が来て、自分は面倒だったので数字を足していきました。
「r1nbyou10sya1821」
→「r1nbyou10sya18211」バレた可能性1回目
→「r1nbyou10sya18212」バレた可能性2回目
という感じです。文字数制限に引っかかるなら・・・なんか独自ルール作ってやってみてください。。。例えば、最後の数字を増やす、とかかなあ。
本当にバレたなら、もっとちゃんと変えないといけないです。でも自分は面倒だし、そのサービスなくても困らなかったので、アカウント消しました。そもそもそのアカウントは、そこまでして必要なの?というのも考えるべきですね。
パスワードなんて忘れるからメモします
※最初に書いておきますが、厳密にセキュリティを考えるならば、以下に書いたようなネット上のサービスにパスワードを書くことは、やってはいけないことです。そのことは承知の上で書きます。
実際のところ、これだけしっかりしたパスワードを作ると、サイト毎の文字数制限・記号制限(ログイン画面で表示してくれないサイトが多い)によって、パスワードが複雑になり、結局パスワードがわからなくなることがあります。
特にセキュリティに厳しい銀行・クレジットカードなどは、間違えた場合回数制限(3回とか)で1日操作できなくなったり、本人確認の郵送などが必要になり、非常に面倒かつ急いでいる時には困ります。
となると・・・私は結局パスワードを書いています。紙ではなくネット上にですが。
Evernote ( https://evernote.com/ )
Google keep ( https://keep.google.com/ )
を使用しています。どちらもネット上にメモを残すブラウザアプリです。ブラウザが使えればログイン出来るので、スマホでもタブレットでもパソコンでも、他人のそれらでも使用出来ます。紙みたいに忘れたり、無くしたりすることがありません。
当然ですが、これらのパスワードを忘れてはなりません。
2つ使用しているのは、バックアップのためです。片方が使えなくなっても、もう片方に残ります。
これらのサービスは当然パスワードなどをもらす事などしませんが、事故でもれることも有りえます。中の従業員がこっそり読む可能性も否定出来ません(というか、Amazonでそういうことありましたね。別にAmazonが特別危ないわけじゃなく、どこでも同じです)。
まあ、自分は今のそれで困ってはいません。割とおおっぴらな人間だというのもありますが。
一応、それでも気をつけておくべき点としては、パスワードを省略しておくことです(今思いついて実行したことですがw)。
つまり、 パスワード8文字制限のあるサイトがあって、
基本パスワード「r1nbyou10sya1821」なので
パスワードを
「r1nbyou1」
と設定していたとします。
その場合
「r 8文字」
とメモしておきます。
基本パスワードは頭の中に入っているので、「r」から「8文字」目までを入力すれば良いとわかります。
「r1nb1821」と設定していた場合は
「r1821 8文字」でいいでしょう。
こうすれば、パスワードの一部はバレても、全部はバレません。
余談
・パスワードに使ってはいけない文字列
2014年のものですが、使ってはダメなパスワードの例です。ノートンから引用しました。まあ、はっきり言ってダメすぎてあまり参考にならないですが。
123456 (数字のみ、しかも連続)
password (そのまんまやん)
qwerty (キーボードのキーの並びで決めている)
baseball (単語)
abc123 (連続)
superman (スーパーマン。好きなものなのだろうけど、そのまますぎる)
trustno1 (ドラマの名前(単語))
ネット配信者の場合 ( YoutuberとかVTuberとか )
今すぐ最初からここまで読み直して、全部やるべきです。
たとえ、配信は、配信専用のパソコンでしか配信していなくても。配信以外ではそのパソコンを使わなくても。
なぜなら、人は絶対にうっかりやらかすからです。
おまけとして。
Amazon などの、ページを開いたら個人情報がバレちゃうようなところは、(そういうことが出来るサイトなら)ニセの情報を登録しておきましょう。
例えばAmazonならば、配送先住所を実在する郵便番号(ネットで適当に検索すれば見つけられます)を設定します。名前も適当なものを設定します。
これで、うっかりAmazonのトップページを開いたぐらいなら、郵便番号とか名前はもれなくなります。ちなみに、偽名でも住所が正しければ、配達されます。ただし、偽名を自分がネットで使う名前にしておくと、逆に配達員の人にバレちゃいます。
あと、VTuberなら VDRAW を使ったりするかもしれませんが、起動画面などに書いてあるとおり、キーボード操作が画面に映ることがあります。また、ツイッター投稿機能に映る可能性もあります。ツイッター投稿機能は、現状のバージョンでは、おそらくバグで、投稿を停止してもツイッター投稿し続けるようなので、停止したい場合は一旦VDRAWを落としましょう。
なお、私は VDRAW 大好きです。
最後に
セキュリティの意味では、パスワードより2段階認証の方が大事かもしれません。ここに書いてあること全部やるのはとても大変ですが、自分の経験から書いてみました。
長文読んでくれた方、ありがとうございました。
よろしければサポートお願いします!いただいたサポートはただの生活費として使わせていただきます!