[セキュリティ] 安全で覚えやすいパスワードの作り方+運用のコツ(不正アクセス対策)

 
 

[セキュリティ] 安全で覚えやすいパスワードの作り方+運用のコツ(不正アクセス対策)

Gmail、Facebook、Twitterはじめ、アカウント作って・ログインして使うWebサービス/ツール類。

多分、不正アクセスされたい人はあんまり居ない と思いますので、パスワードのセキュリティはバッチリ!にしておくべきです。。が。

昨年12月にも、芸能人のメールやクラウド型ストレージのアカウントがパスワード突破されて、中を見られた なんてニュースが出てましたね。

関係者によると、被害に遭ったのは ・・・(中略)・・・ 容疑者は、名前や誕生日などの公開情報を組み合わせてパスワードを類推していた。「パスワードを突破することに喜びを感じ、ゲーム感覚でやった」と話している。

引用元:ITmediaニュース 2016-12-01

ハッカーのイメージ
キー打ちにくそうな手袋装備

・・・
普段使ってるパスワード、大丈夫ですか?

(決して不安を煽るわけじゃなく)ちょっとでもお役に立てばイイナーと、顧客向けに文書で案内している内容をブログにもまとめてみようかと思います。

安全なパスワード作成・運用のツボ

当方がお客様にご案内しているパスワード作成・管理・運用のガイドラインをご紹介しますね

  1. 充分な長さ(12桁程度~)で、英数混じりであること
  2. 容易に推測される文字列ではないこと
  3. 辞書に載っている語は用いないこと
  4. 付箋に書いて目につくところに貼ったりしないこと
  5. 同一パスワードを複数のサイト/サービスで使いまわさないこと

以下、それぞれの説明です。

1.充分な長さ(12桁程度)で、英数混じりであること
一般的に、悪意のある攻撃者が(自動化されたプログラムを使って)パスワードを総当たりで突破しようとした際、破られないための安全性を担保する目安が「8桁以上」 と言われております。その1.5倍を目安とします。
2.容易に推測される文字列ではないこと
充分な長さを持った文字列でも、強度の弱いパスワードは存在します。例えば 電話番号、生年月日、メールアドレス、家族やペットの名前といったもの(や、その組み合わせ)等は、容易に推測される脆弱なパスワードの代表格といえます。
3.辞書に載っている語は用いないこと
例えば 『HereComesTheSun1969』 という文字列。長さは充分ですが、辞書に載っている語の組み合わせであり、かつビートルズの曲名と発表年という組み合わせです。これは「総当たり攻撃」の類型である「辞書型攻撃」によってパスワード突破されてしまう危険性が高くなります。
4.付箋に書いて目につくところに貼ったりしないこと
あちこちで案外多い事例ですが、これは。。。アレですよね (^_^;
5.同一パスワードを複数のサイト/サービスで使いまわさないこと
複数のWebサービスでパスワードの使いまわしを行っていると、どこかで漏えいが起こった場合・・・別のサービスも芋づる式に不正アクセスを受けたり、乗っ取られてしまう可能性が非常に高くなります。(一時期、LINE や Facebook の乗っ取りがニュースをにぎわせていましたが、Gmail や Yahooメール、iTunes、Facebook、LINE等で同じパスワードを使い回していたユーザーは被害に遭いやすかった模様です)

では、どんなパスワードが良い?

上記 1・2・3 を 考慮すると、ランダムに生成した文字列が一番ということになります。。。。が。が。全くのランダムは覚えにくいもので、ランダムな文字列にしたがゆえに、4:書いてその辺に貼る や 5:ひとつのパスワードをあちこちで使いまわす ・・・ といった危険を招きやすくなるというパラドックスに陥ることも。

パスワードを付箋に書いてそのへんに貼らない!
職場でありがち? 付箋ペタリ

また、何かの拍子にパスワードわからなる ⇒ ログインできなくなっちゃった(ノд-。)不能アカウントはそのまま放置 なんてことも避けたいですよね (;´Д`)

強固で・覚えやすいパスワード

以上を踏まえて、こんなパスワード生成方法をご提案しております。

手順1
自分には意味が通って覚えやすく、他人には類推できない 「その時見た何か」 「その時感じた何か」 を 織り込んだ、短い文を考える
例 『 このルール、メンドクサイなぁ 』
手順2
その一文をローマ字に直す
例 kono ru-ru mendokusai naa
手順3
子音を中心に文字を抽出し、大文字小文字を混ぜ、ところどころ数字に置き換える
例 kono ru-ru mendokusai naa
⇒ knR-Rmnd9317

英数混じりで12桁自分には覚えやすく・かつ他者には類推できないパスワード が出来ました! (・∀・)

一見ランダムな文字列なようでいて、本人にだけ語呂がわかる というのがポイントです。

ハッカーのイメージ2
キリキリ舞いさ? (死語)

また、この生成手法を逆手に取ったパスワード突破試行がなされる可能性もあるため、属人的で持続性のある内容(例「カレーと焼きそばが好き」といった文言等)を元にパスワードを起こすのは避けた方が賢明であることも付け加えておきます。

入力は脳内呪文で

運用に際してもちょっとしたコツがあります。ログイン時、頭の中で語呂のフレーズを唱えながらパスワード入力する ことで、どこかに書いて貼っておかなくても自然に覚えられます。(頭+手の両方が覚えます)

ブラウザにパスワードを記憶させるよりも、更に安全性が高いのは言うまでもありません。

そう、「イイクニつくろう鎌倉幕府」や、「お豆に芽が出て植木鉢~植木鉢」のように、脳内で呪文を唱えながら手を動かすのです^^

・・・
・・・・・以上、不正アクセスに強く・安全で覚えやすいパスワードの作り方、運用方法の一例でした。お役に立てば幸いです


誰でも本当にカッコイイ配色を決められる!デラGoodなWebツール
誰でもプロ並みのデザインが出来る?「Picky-Pics」…率直レビュー【追記あり】
どーしよ。。 コピペのリスク:ホームページの文章、ビジネスブログを書く際のタブー
Firefox Developer Edition (開発者専用ブラウザ) 入れてみた
簡潔軽量!2KB弱でレスポンシブデザインを実装するCSS (グリッドシステム風)
ユーザー目線のSEO考(その1)
Flexboxでレスポンシブ、ゆるいCSSフレームワーク (グリッドシステム風)
中身で勝負! わかりやすい文章が書ける!受け手に伝わる『PREP法』

Name * (必須)

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

í
up