日本人ならではの簡単で強固なパスワード設定方法

日本人ならではの簡単で強固なパスワード設定方法

世の中インターネット全盛時代、どこに行くにしても、なにをするにしてもパスワードパスワードパスワード。

しかも「特殊文字を入れてください」「8文字以上入れてください」「数字を入れてください」「大文字小文字を混ぜてください」と要求される。

それに合わせて作ると「こんな面倒なパスワード覚えてられっか!」となって、付箋に張る。

なんのためのパスワードやら。

ここでは、20年以上自分がやってきた、簡単でかつ強固なパスワードの作り方を紹介する。自分が管理してるサーバのrootパスワード(最近はrootというより、sudo権限のパスワードだけど)もこの方法で設定してるけど、クラックされたということは一度もないよ。

日本人だからこそ作れる簡単強固なパスワード

それは、「日本語の文をパスワードにしてしまう」ということ。

ITの世界ではパスワードというより、パスフレーズと呼ばれているもの。

まず、簡単で覚えやすく、自分にしか分からない日本語の文を作る。

例えば、家で「タマ」という猫を飼っているとしよう。

そこでパスフレーズとして

うちのタマが一番かわいい

と設定する。

次にこれをローマ字にする。

uchinotamagaichibankawaii

文字数的にはこれだけで25文字もある。たまに「8文字以上16文字以内で」と言われることもあるけど、そんな脆弱なwebサイトは使わない方がいい。

・・・とは言えないので、あとで紹介する、より強固で短縮できる方法を試すといいでしょう。

とりあえず、ここは25文字のローマ字からスタートする。

次に、このローマ字のパスフレーズの前後に自分で決めた特殊文字および数字を付け加える。

例えば

先頭に「#」、文末に「結婚記念日」をつける。

とか。

結婚記念日が7月25日だとしよう。

すると、パスワードはこうなる。

#uchinotamagaichibankawaii0725

これだと小文字しか使っていないので、先頭だけ、もしくは先頭と最後のローマ字だけ大文字にする。

#Uchinotamagaichibankawaii0725

もうこれだけで十分強固なパスワードになる。

このパスワードが強固な理由は、辞書攻撃に強いということ。

パスワードを搾取する攻撃のほとんどが、ブルートフォース、いわゆる総当たり攻撃によるもの。

これは、一般的な単語を山ほど搭載した辞書を使って、その単語を組み合わせて総当たりにパスワード突破を図っていく攻撃。

最近のCPUのスペックだと、わりと簡単なパスワード(例えば名前+誕生日の10文字パスワードとか)だと、ものの数十秒ぐらいで解析されてしまう。

実際、自分は企業様に呼ばれてセキュリティ勉強会をする時、最初の30分はクラッキングデモをやるんだけど、10文字程度のパスワードを、ブルートフォースのツールを使って90秒ぐらいで解析するデモをする。

それぐらい簡単なんです。

ところが、日本語の単語や、特にフレーズはこの手の辞書には載っていない。そもそもこういう攻撃ツールとか辞書を作ってるのは、ほとんどが外国人だから。

だからこそ、日本人ならではのメリットとして、日本語の文をパスワードにしてしまうわけ。

まぁ、あと10年や20年もすると、この手の辞書に日本語の単語が載ってくるかもしれないけど、それでも文までは載らないと思う。日本語の文は分解するのが難しいのでね(だからDeep Learningでは問題になるんだが、それはまた別の話)。

もう少し短縮し、よりランダムっぽくする

文字数の上限がある場合や、いかにも文章というパスワードだと不安という場合、ランダムっぽくする方法がある。

それは「母音を抜く」こと。

もう一度上記のパスワードを眺めてみよう。

#Uchinotamagaichibankawaii0725

ここから母音を抜く。日本語は母音の多い言語なので、母音を抜くだけで一気に文字数が少なくなる。

#Chntmgchbkw0725

先頭が母音(U)のため消えたから、子音の先頭に来た「C」を大文字にした。

これで16文字。普通のサイトならこれで上限に引っかかることもないだろう。

ぱっと眺めた感じ、ランダムに英字を選んでいるように見えるし、特殊記号も数字も入ってる。完璧だ。

しかも、もともとは日本語の文章から作成されているので、覚えるのも簡単なはず。

このパスワード作成方法は、さらにメリットがある。

付箋に貼っておける

そう、PCとか手帳とかに付箋で貼っておけるのだ。

と言っても、もちろんパスワード全部を書いちゃだめだよ。なんのためのパスワードか分からなくなるから。

付箋に書くのは、真ん中の日本語の文(もしくは短縮語)。ただし、文全部を書くとさすがにまずいかもしれないので、前半部分だけにする。

フレーズ全部をパスワードにしている場合付箋に書くのは

uchinotama

とだけ書く。uを大文字にはしない(Uを大文字にするのは自分だけが知っている)。

短縮語なら全部書いてもいいでしょう。

chntmgchbkw

こんな感じ。

どちらにしても、このメモを見ると「先頭に#、後ろに結婚記念日4桁を書く」ということさえ忘れなければ、簡単にパスワードを復元できる。

実際、山ほどあるパスワード(自分の場合100を越える)を自分はMacの「メモ」に記載して、iCloudで同期しているので、iPhoneやMacなど、どこからでも参照できるようにしているが、そこに書いてあるのは例えば楽天だと

【楽天】

ID:motaci

PWD:Uchinotama…

みたいな書き方。

これだと、万一この「メモ」が漏れても、パスワードは復元できないからね。

応用編

ITセキュリティ勉強会をしていると、よく受ける質問が「楽天とかアマゾンとか、サイトによってパスワードを変えた方がいいですか?」というもの。

変えた方がいいとは思うけど、日本語の文を使ったパスワードだと、ほぼクラックされる心配がないので使い回しでいいと思う。

それでも心配だから使い分けたいという場合、こうする。

利用するサイト名を短縮し、それをパスワードの最後につけるのだ。

例えば

・Amazon→amzn

・Rakuten→rktn

という感じに短縮し、パスワードの最後につける。

#Uchinotamagaichibankawaii0725amzn

#Uchinotamagaichibankawaii0725rktn

とか。

これですべてのサイトごとに違うパスワードを作れるし、メモっておいても大丈夫。「amzn」とか「rktn」だけを書いておき、パスワード全部を書かないようにすれば自分にしか復元できないのでね。

余談

3つほど余談。

このパスワード作成方法において、元になる日本語の文はできるだけポジティブなものにした方がいい。

パスワードを入力するたびに気持ちが明るくなるからだ。

Kyoumotaiyougamabushii(今日も太陽が眩しい)

Itsumoegaodeikou(いつも笑顔で行こう)

とかね。

それから、PCに慣れていない親にパスワードの設定方法を教えることもできる。

「なんでもいいから好きな文を作りなよ。『Mainichinikansha(毎日に感謝)』とかさ。で、先頭にシャープ(#)をつけて、後ろに誕生日4桁の数字をつけるの。これで長いパスワードが完成するし、Mainichinikanshaだけを付箋に書いておいてもいいからね。#と誕生日をつけるのさえ忘れなければ、自分にしか分からないパスワードになるから」

と。実際自分の親にはこの方法を教えていた。

さらに。

パソコンへのログインとかを人の目の前ですることもあるものだけど、ものすごく長いパスワード、しかも特殊記号や数字、大文字小文字が入り乱れてるパスワードを、マシンガンタイピングで入力すると周りからは「すげぇ〜」と称賛される(こともある)。

本人はパスワードのルールを知ってるし、フレーズは自分で作った日本語の文だから、タイピングするのは簡単。

でも見てる方は一見ランダムなキータイピングに見える。

「わぉ、この人、すげぇ」と驚かれる(こともある)のだ。

ま、余談だけどな。

以上、もたちぃ的おすすめパスワード設定方法でした。

 

スポンサーリンク

セキュリティカテゴリの最新記事