強力で覚えやすいパスワードを作る方法

定期的にパスワードを変更するという対策は時代遅れになっています。強力で覚えやすいパスワードを設定し、使い回さないようにしましょう。そのための方法は。

毎年2月1日は「Change Your Password Day」(パスワード変更の日)です。2012年以来続いていますが、当時は有効だと思われていた対策も、2019年の今では少々時代遅れになっています。そのため、この日もそろそろ「Strong Password Day」(強力なパスワードの日)にしたらどうかと思う次第です。

 

定期的にパスワードを変えても意味はない

10年前は、パスワードの定期的な変更が、セキュリティの対策として一般的に行われていました。現在、パスワードの定期変更は特に有効ではないと見なされています。その理由は、パスワード問題につきまとう2つの相反する要素にあります。まず、対象のアカウントを効果的に保護するためには、パスワードを推測しにくくなければなりません。さらに、パスワードは覚えやすいものである必要があります。パスワードの定期変更は、1つ目については多少有効ですが、2つ目に関しては猛烈に厄介です。

問題の根本は、私たち人間が長くて複雑なパスワードを覚えるのを好まないところから来ています。私たちは機械ではありません。ですから、自然にズルをしてしまいます。パスワードを変更しなければならないとき、まったく新しいパスワードを考え出すのではなく、今までのものを少しだけ変えて済まそうとするのです。たとえば「batman2018」というパスワードがあったとしましょう。このパスワードを変更しろと言われたら、ほとんどの人は「batman2019」にするのではないでしょうか。システムにとっては別のパスワードですが本質的には同じであり、何よりも、変更前のパスワードが漏洩すると変更後のパスワードを簡単に推測できてしまうという致命的問題があります。

まとめると、定期的にパスワードを変えてもあまり意味はありません。強力なパスワードを使用し、さらにそのパスワードを使い回さないことの方がはるかに重要です。それでは、パスワードの使い回しについて少し考えてみましょう。

パスワードを使い回してはならない理由

非常に強力なパスワードを1つ考え出して、自分の持っている全アカウントで使い回せばよさそうに思えます。これならアカウントはすべてしっかりと保護されるし、パスワードが複雑であっても1つだけならば覚えるのは苦にならないし、一石二鳥では?理想世界の話をするなら、それで大丈夫かもしれません。しかし残念ながら、私たちが住んでいるのは、データ漏洩が繰り返し発生し、パスワードが破られる世界です。全部のアカウントで同じパスワードを使っていると、1度のパスワード漏洩で、すべてのアカウントが乗っ取られてしまう危険があります。「一石二鳥」どころではなく、1個の石で鳥の群れ全体がやられてしまうようなものです。

強力なパスワードとは

「強力な」パスワードとは、どんなパスワードでしょうか。答えようとすると少々込み入った話になりますが(数学的な話になります)、ざっくり言えば2つの要素に落とし込むことができます。1つ目は、1つのパスワードで使う文字です。いろいろな種類の文字を組み合わせて使うと、パスワードは強化されます。2つ目は長さで、長いほど強度が上がります。

ありがたいことに、この2つは補完しあっています。「#」「%」「&」のような記号を覚えづらかったら、代わりにあと何文字か足してパスワードを長くすれば良いのです。

もう1つ。強力なパスワードは、無作為に文字を並べたものである必要はありません。ランダムに文字が並んだパスワードはセキュリティ上効果的ではありますが、いくつも記憶するのはとても大変です。これも、長さで対応できます。パスワードを少なくとも12文字にしてください。もっと長ければ、いっそう強力です。

強力で覚えやすい、1つしかないパスワード

何はともあれ、複数の強力なパスワードを使い回さずに覚えるのは、想像よりもずっと簡単です。要は、適切なやり方が頭に入っていれば良いのです。

どうしたらよいかは、八っつぁんと一緒にご隠居に聞いてみましょうか…

このほか、Kaspersky Labのグローバル調査分析チーム(Global Research and Analysis Team:GReAT)のメンバーであるデイビッド・ヤコビー(David Jacoby)が、パスワードの作り方を分かりやすく説明しているので、こちらの記事もぜひ参考にしてください。

 

ヒント