BLOG

たったひとつでいいから、完璧にランダムなパスワードをつくって覚えよう!

2014年05月11日 14時58分 JST | 更新 2014年05月11日 15時50分 JST

default

 パスワードが悩みの種だ。

 あちこちのサイトでパスワードを入れるように言われるので、なるべく同じパスワードをと思って入れようとするが、小文字と大文字を使えだの、記号を使えだの、8文字以上だのと条件が異なって、同じパスワードを使うことができない。

 それに、パスワードを同じにしている場合、万一の場合に、全部のサービスがハッキングされるリスクがあるので、それもやばいと気づき、やっぱり覚えられないので、ついにあるところに書き留めることにした。

 どこに書いたかは秘密だが、ほんとうは、足の裏に「入れ墨」で入れたい気分である。

 今朝、How to Outguess Passwordsという記事を読んで、悩みはみんな一緒なのだなと改めて思った。

 その記事にあった、かなり怖い事実。(以下引用)

◆パスワードを収集するために、つまらないサービスを提供しているサイトがある。収集したメールアドレスとパスワードは、20ドル程度の相場で売る。

◆1%のパスワードは4回のトライで発見できる( たとえば、”password”、 ”123456”、” 12345678”、” qwerty” (引用間違いで最初”qwerry”としていました。ご指摘ありがとうございます)

◆John the Ripper というフリーソフトは何百万というパスワードを1秒で試す能力がある。科学捜査に使われる有料ソフトのひとつは28億回/秒とうたわれている*1

◆クラッキングソフトは何千というよく使われる言葉のリストを保持していて常にアップデートされている。まずそのリストを試したのちに、Dictionary Attack(辞書にある言葉をしらみつぶしに調べる)を行う

◆数字や記号を大文字などをパスワードに加えることをmanglingというが、それで安全なパスワードになると思うのは錯覚。たとえば、多くの人は、

*数字を加えるように言われると password1 とか password123になる

*大文字を加えるように言われると Password とか PaSsWoRd になる

*記号を加えるように言われると password! とか p@ssword になる

 記事によれば(以下は記事からの要約と僕なりの解説を加えたものです)、パスワードの保持には、(1)予測されにくいものにする、(2)それが盗まれないようにする の二面での注意が必要であるという。

 

 (2)については、多くのひとが意図的に盗まれるリスクがあるとは思っていないが、さまざまな局面でたいていのひとは悪意や恨みさらされることもあり、充分な注意が必要であると記事には書かれている。たとえば、ビジネスや離婚訴訟など、その契機となることは普通にあると。

 その場合、パソコンにスパイウェアが入れられていないか常に注意する必要があるし、また、背後からのぞき込まれるというような原始的な方法もケアする必要があるという。

 (1)の「予測不可能なものにする」ということも重要で、上に書いたようなソフトを使うと、たいていのひとが考えつくようなパスワードというのは、どれほど工夫しても安全とはいえないという。

 だけど、もちろん、パスワードは覚えれるものでないと、意味がない。

 記事の筆者は、完全にランダムにつくられたパスワードをひとつつくって、暗記してしまおうと提案している。

 電話番号や生年月日のようなランダムな数字を覚えることができるのに、現代社会ではそれと同じように重要なパスワードひとつ、なぜ、真剣に覚えようとしないのか、と。

 彼が推薦しているのは、Random.orgのようなサイトで完全にランダムなパスワードをつくることだ。

 たとえば、そのサイトでは、大文字、小文字、数字を使った完全にランダムなパスワードが簡単につくれる。

 やってみたところ、こんな感じ。

  • AGSSxzvd
  • FWCkDzT2
  • dPFBMNEh
  • 5vnXFRpe
  • MsGHa2Sp

 

 この8文字のパスワードは218兆通りあり、それをソフトで割りだすことは、現実的には不可能となる。それでも不安であれば、記号をひとつ加えれば、さらにセキュリティは強固になる。

 なんとかして、それをひとつ覚えるのだ。

 そのパスワードは何回も簡単にトライできるので、いくつか覚えやすそうなものを書き留めて最高のものを選ぶ。

 語呂合わせできやすいものを選んでもいいし、たとえば、上のリストの中では、

  • AGSSxzvd

 だって、本気になれば、覚えることができそうだ。

 しばらくのあいだ、風呂に入っても、トイレに入っても、「えーじーえすえす、こもじで、えっくすぜっとぶいでぃー」と唱え続けていれば、覚えることができそうだ。

 たぶん、新しい自宅の電話番号を覚えるつもりで気合を入れたら、案外、覚えてしまえるのではないだろうか。

 

 そして、このパスワードだけは、大切に使う。

 仕事用のもの、お金に関するものなどだけに、使うのだ。*2

 ゲームや信頼性が確信できないサイトなどでは、最悪、ハッキングされても被害の少ない別のパスワードを使うのである。

 この記事を読んで、なるほどと思った。

 さっそく、ひとつランダムなパスワードをつくって、いくつかのサイトのパスワードを変えることにした。

 もちろん、現在では、パスワードを管理するソフトもあるのだが、それはそれで、すべてを外部の「そいつ」に預けて大丈夫か、と一抹の不安が残る。

 が、たったひとつでいいから完璧なパスワードを覚えてしまえば、セキュリティはかなり強固になるのだ。

 

 最近、有名人のGmailのアカウントが乗っ取られたと聞いたり、知人のフェイスブックアカウントが乗ったられたりした。

 不安になって、いくつかのサービスのパスワードを変えたりして、応急処置はしていたのだが、そろそろ、本格的にパスワードを整備すべきだなと思った。

追記2014.4.19

 セキュリティに詳しい徳丸浩さんから、以下のアドバイスをいただきました。

 ランダムパスワードをつくったあと、それぞれのサイトでつかうときに、FacebookのFとかFFをどこかにけるとか(TwitterならTTとかTとか)して、サイトごとに変えたほうが良いようです。

 徳丸さん、ありがとうございます!

*1:セキュリティに詳しい徳丸さんによれば、これはオフライン攻撃の性能だそうです。詳しくは上記の徳丸さんのTweetの中で述べていただいている「徳丸浩の日記」の記事をご覧ください

*2:頭に銀行用ならバンクの”b”とか、会社の管理画面なら”m”とかを最初につけるという手もある

(2014年4月19日「ICHIROYAのブログ」より転載)