パスワードの生成
パスワードの強度
- 強いパスワードとは
「悪意のある第三者に見破られないもの(推測されにくいもの)」が強いパスワードであると言えます.「長い文字列」や「デタラメな文字列」は,強いパスワードのための1つの要件です. 辞書に載っているような言葉に比べれば、デタラメな文字列を用いるほうが一般的には「強い」と言えます. 悪意の第三者は,パスワードの推測に1秒間に数十万もの文字列を「試す」ことができる自動ツールを利用することが一般的です. この探索は,単純なアルファベット順で試すのではなく,「人間がつけやすい」文字から効率よく探るツールも駆使します.辞書なども利用します. こうしたツールを駆使すれば,どんなデタラメな文字列のパスワードでも「いつかは」解明してしまいます.言い換えれば「強い」パスワードとは,解明するまでに長い時間を要するものと言えます.
弱いパスワードの例を挙げます.- パスワード無し(これは論外)
- ユーザ ID とパスワードが同じ
- 誕生日などの「数字のみ」の文字列
- 辞書に載っているような「名詞や氏名など推測しやすい文字列」
- 8文字未満の短い文字列
- 強いパスワードの設定
強いパスワードを設定するためのパスワードの選び方に関する一般的な考え方を示します.
- 記号を用いる
アルファベットと数字を混ぜる.また,アルファベットは大文字と小文字の両方を使用する. さらに,記号など特殊文字を使用できる場合は用いた方がより強いパスワードになる. - 長いパスワード
なるべく長いパスワードを使用する.ほとんどのシステムは,パスワードの長さが 8文字以上などと決められているが,最小の文字数ではなく,より長い文字数 (14文字以上が望ましい) にする. - "ショルダーハッキング" の注意
"tyuiop@[" というパスワードは,一見すると「強そう」に見えるが,これはキーボードの「t」からひとつずつ右にキーを叩いていった文字列である. オンライン攻撃には強いかもしれませんが,パスワード入力を肩越しに他人に見られる「ショルダーハッキング」の標的になり易いと言えます. 実際に打ったキーが,そこにいる他人からわかり易いパスワードは避けるべきです. - 覚え易さ
パスワードの覚え易さも考慮する.言葉として無意味であり覚え難いものにすると,書き留めておくようになり,他人に知られる危険が増すことになる. 辞書に載っている単語ではなく,かつ自分が覚えていられるようなものにする(自分では覚えやすいが,他人が推測するのは難しいもの).
意味はないが発音できる言葉を使用したり,自分だけが知っている事柄から連想できるものにすると覚え易くなる. - 判定ツールの利用
パスワードの強さを判定するツールを利用して強さをチェックしてみる. (→ パスワード評価ツール)
(参考)パスワード チェッカー(マイクロソフト)https://www.microsoft.com/japan/protect/yourself/password/checker.mspx
- 記号を用いる
パスワードの生成
パスワードを生成する幾つかの方法を紹介します. パスワードは,覚え易いあるいは覚えている情報から簡単に導き出せ,かつ最大限複雑なものが望ましい. そのためには,利用するWebサイトごとに異なる推測され難いパスワードを生成できる秘密のアルゴリズムが必要です. パスワードそのものは覚え難いものでも,パスワード生成に必要なアルゴリズムから生成できれば良いと言えます.
- 単語の連結
いくつかの短い単語の間に数字や特殊文字を入れる.例: You;dit3it
- 文章の短縮形
ある文章の短縮形を使用する.
例: "Oh no, I forgot to do it today."の短縮形として,Oniftdit.
- 文章の短縮形に数字や特殊文字を挿入する.
例: On;if+tdit:
- 言葉の連想
幾つかの関連した言葉から連想した単語の先頭の数文字を組み合わせてパスワードとする. 例えば,自分が卒業した学校(小学校,中学校,高校等)の名前のそれぞれ先頭の3文字を取り,数字または記号でつないで生成する.
例: Han6Kan3Sum3
- 変換表の利用
「ひらがな」と「数字,記号,アルファベット」との独自の変換表を作る.例えば,ひらがな 1 文字をアルファベットと記号の規則性の無い組で表す.パスワードは,覚え易いように目的を連想する単語や文章とし(メールならば「届いているか」など),変換表を用いてパスワードに変換して入力する.パスワードを秘密にしておけば,変換表は見られても問題はなく手帳などに記録しておく. - サイト毎の変形
上記のように生成したパスワードにサイト毎に異なる単語や数字などを付加してサイト毎に異なるパスワードを生成する.
/