ホームブログ

[セキュリティ] 安全で覚えやすいパスワードの作り方+運用のコツ(不正アクセス対策)

2017/01/13 2022/01/26 コツ ,

Gmail、LINE、Facebook、Twitterはじめ、アカウント作って・ログインして使うWebサービス/ツール類。

多分、不正アクセスされたい人はあんまり居ない と思いますので、パスワードのセキュリティはバッチリ!にしておくべきです。。が。

時折、芸能人のメール・ SNS・iCloud等がパスワード突破されて、中を見られた なんてニュースが出てますよね。「芸能人 不正アクセス」でググると…

他人のSNSに不正アクセス疑い、男性逮捕「プライベートのぞきたい」

県警によると、吉川容疑者はインスタグラムのアカウント名からIDやパスワードを推測することで不正なアクセスを繰り返していた。被害者のほとんどが自分の名前や誕生日などをアカウント名として登録していたという。(毎日新聞:2022/1/6)

https://mainichi.jp/articles/20220106/k00/00m/040/231000c
ハッカーのイメージ
キー打ちにくそうな手袋装備

・・・
普段使ってるパスワード、大丈夫ですか?

(決して不安を煽るわけじゃなく)ちょっとでもお役に立てばイイナーと、顧客向けに文書で案内している内容をブログにも記します。

安全なパスワード作成・運用のツボ

当方がお客様にご案内しているパスワード作成・管理・運用のガイドラインはこんな感じです🙂

  1. 充分な長さ(12桁~16桁程度)で、英数混じりであること
  2. 容易に推測される文字列ではないこと
  3. 辞書に載っている語は用いないこと
  4. 付箋に書いて目につくところに貼ったりしないこと
  5. 同一パスワードを複数のサイト/サービスで使いまわさないこと

以下、それぞれの説明です。

1 充分な長さ(12桁~16桁程度)で、英数混じりであること
一般的に、悪意のある攻撃者が(自動化されたプログラムを使って)パスワードを総当たりで突破しようとした際、破られないための安全性を担保する目安が「12桁以上」 と言われております。
2 容易に推測される文字列ではないこと
充分な長さを持った文字列でも、強度の弱いパスワードは存在します。例えば 電話番号、生年月日、メールアドレス、家族やペットの名前といったもの(や、その組み合わせ)等は、容易に推測される脆弱なパスワードの代表格といえます。
3 辞書に載っている語は用いないこと
例えば 『HereComesTheSun1969』 という文字列。長さは充分ですが、辞書に載っている語の組み合わせであり、かつビートルズの曲名と発表年という組み合わせです。これは「総当たり攻撃」の類型である「辞書型攻撃」によってパスワード突破されてしまう危険性が高くなります。
4 付箋に書いて目につくところに貼ったりしないこと
あちこちで案外多い事例ですが、これは。。。アレですよね (^_^;
5 同一パスワードを複数のサイト/サービスで使いまわさないこと
複数のWebサービスでパスワードの使いまわしを行っていると、どこかで漏えいが起こった場合・・・別のサービスも芋づる式に不正アクセスを受けたり、乗っ取られてしまう可能性が非常に高くなります。(一時期、LINE や Facebook の乗っ取りがニュースをにぎわせていましたが、Gmail や Yahooメール、iCloud、Facebook、LINE等で同じパスワードを使い回していたユーザーは被害に遭いやすかった模様です)

では、どんなパスワードが良い?

上記 1・2・3 を 考慮すると、ランダムに生成した文字列が一番ということになります。。。。が。が。全くのランダムは覚えにくいもので、ランダムな文字列にしたがゆえに、4:書いてその辺に貼る や 5:ひとつのパスワードをあちこちで使いまわす ・・・ といった危険を招きやすくなるというパラドックスに陥ることも。

パスワードを付箋に書いてそのへんに貼らない!
職場でありがち? 付箋ペタリ

また、何かの拍子にパスワードがわからなくなる ⇒ ログインできなくなっちゃった(ノд-。)不能アカウントはそのまま放置 なんてことも避けたいですよね (;´Д`)

強固で・覚えやすいパスワード

以上を踏まえて、こんなパスワード生成方法をご提案しております。

手順1
自分には意味が通って覚えやすく、他人には類推できない 「その時見た何か」 「その時感じた何か」 を 織り込んだ、短い文を考える
例 『 マジかよ … 超メンドクサイなぁ 』
手順2
その一文をローマ字に直す
例 majikayo … chou mendokusai naa
手順3
子音を中心に文字を抽出し、大文字小文字を混ぜ、ところどころ数字に置き換える
例 majikayo … chou mendokusai naa
⇒ mjk4-CHmnd9317a

英数混じりで15桁自分には覚えやすく・かつ他者には類推できないパスワード が出来ました! (・∀・)

一見ランダムな文字列なようでいて、本人にだけ語呂がわかる というのがポイントです。

ハッカーのイメージ2
キリキリ舞いさ? (死語)

また、この生成手法を逆手に取ったパスワード突破試行がなされる可能性もあるため、属人的で持続性のある内容(例「カレーと焼きそばが好き」といった文言等)を元にパスワードを起こすのは避けた方が賢明であることも付け加えておきます。

入力は脳内呪文で

運用に際してもちょっとしたコツがあります。ログイン時、頭の中で語呂のフレーズを唱えながらパスワード入力する ことで、どこかに書いて貼っておかなくても自然に覚えられます。(頭+手の両方が覚えます)

ブラウザにパスワードを記憶させるよりも、更に安全性が高いのは言うまでもありません。

そう、「イイクニつくろう鎌倉幕府」や、「お豆に芽が出て植木鉢~植木鉢」のように、脳内で呪文を唱えながら手を動かすのです^^

・・・
・・・・・以上、不正アクセスに強く・安全で覚えやすいパスワードの作り方、運用方法の一例でした。お役に立てば幸いです😀

お役に立ちましたら、シェアしていただけると嬉しいです😀

はてなブックマークに追加Add
クリップボードにコピーCopy URL
Author

林@零細Web屋

名古屋の自営業者(フリーランス11年目)です。中小/個人の事業者さんが抱えるお悩みの解決・目的達成のお役に立てるよう、Webサイト制作&運用支援を行っています。かつて中小企業で情報システム・広報・採用などを担当していた経験を活かし、受け手の目線に立った仕事を心がけています。

» プロフィール詳細 » 問い合わせてみる

Affiliates

セキュリティの笑えないミスとその対策51

ChatGPT最強の仕事術