安全なパスワードと覚えやすいパスワードのバランスに悩むことはありませんか? 自分でも覚えられないパスワードほど安全ですが、パスワードマネジャーを使用できない場面では、記憶に頼らざるをえません。
セキュリティ侵害が発覚するたびに、私は頭を悩ませます。今年の春、ハートブリードの脆弱性が見つかり、全員がパスワード変更を余儀なくされました。その作業は、今でも続いています。ハックされる恐怖におびえると同時に、自分のお気に入りのパスワードを完全に変えてしまうことに時間と精神的エネルギーを費やすのが無念でなりません。
これは、あなたも同じでしょうか?
もしあなたが、ユニークかつランダムな、突破できないパスワードを管理するシステムを導入しているなら、敬意を表します。ある推定によれば、パスワードを再利用せず、セキュリティが充分といえるユーザーは全体の8%だそうです。
残りの92%は、対策が必要です。安全なパスワードを作ることが最重要なのはわかりますが、実際のところ、どうやったらランダムなパスワードを作り、覚えておくことができるのでしょうか? この記事では、私が学んだ安全なパスワードの作り方と覚え方を、皆さんにお伝えしたいと思います。
解読不能なパスワードの分析
長いパスワードほど、解読が難しい。最低でも12文字は確保しましょう。
名前、場所、辞書に載っている単語は避ける。
混ぜる。大文字小文字、アルファベット、数字、記号を使いましょう。これら3つのルールに従うことで、あなたのパスワードが指数関数的に解読しにくくなります。ハッカーのパスワード突破術は、驚くほど高度なレベルに達しています。ですから、パスワードは絶対に「普通」であってはなりません。セキュリティの専門家、Bruce Schneier氏によると、パスワード突破はこんな域にまで来ているそうです。
パスワードクラッカーは、さまざまな辞書を使用しています。英単語、名前、外国語、音声パターンなどを基本に、2ケタの数字、日付、記号などを付け足すのです。クラッカーは、辞書に含まれる単語に対し、大文字小文字を入れ替えたり、よくある置き換えを行います。「s」には「$」、「a」には「@」、「l」には「1」というように。これだけで、全パスワードの3分の2が、あっという間に解読できてしまいます。
最近、Adobeなどのサイトでパスワード盗難が多発していることからも、多くの人のパスワードが安全でないことがわかります。Adobeへの侵入で発覚した、よくあるパスワードは以下の通り。言うまでもありませんが、これらは絶対に使わないようにしてください。
- 123456
- 123456789
- password
- admin
- 12345678
- qwerty
- 1234567
- 111111
- photoshop
- 123123
- 1234567890
- 000000
- abc123
- 1234
- adobe1
- macromedia
- azerty
- iloveyou
- aaaaaa
- 654321
パスワードの安全性を確かめたいときは、「OnlineDomainTools」のオンラインパスワードチェッカーを使うといいでしょう。入力したパスワードに応じて、「長さ」「文字のバリエーション」「辞書に載っているか」などの項目ごとに評価が行われます。さらに、しらみつぶしの攻撃で突破するのにかかる時間も表示してくれます。
解読不能なパスワードの選び方4つ
ランダムで解読不能なパスワードを使う唯一の問題は、覚えにくいこと。韻を踏んでいるわけでもなく何の意味もないパスワード(つまり真にランダムなパスワード)の場合、それを思い出すことは、クラッキングの作業と同じぐらい困難を伴うものです。
そこで、一見ランダムだけど実際は何らかの法則があるパスワードをチョイスするのが賢明です。クラッキングソフトウェアにはほぼ解読不能でありながら、自分にとっては意味があるものを選びましょう。そのための4つの方法を紹介します。
1.Bruce Schneierの方法
前述のSchneier氏は、2008年に自身が考案した方法が、今でも有効だと言います。そのルールは「文をパスワードに変える」というもの。
文は、どんなものでも構いません。文中の単語の頭文字をつなげてユニークなパスワードを作るのです。以下に、4つの文を例にして説明します。
- WOO!TPwontSB = Woohoo! The Packers won the Super Bowl!
- PPupmoarT@O@tgs = Please pick up more Toasty O's at the grocery store.
- 1tubuupshhh...imj = I tuck button-up shirts into my jeans.
- W?ow?imp::ohth3r = Where oh where is my pear? Oh, there.
2.エレクトラム法
ビットコイン・ウォレットを管理するには、非常にレベルの高いセキュリティが必要になります。そこで、エレクトラムを使いましょう。エレクトラム・ウォレットは、あなたの全ビットコインアドレスにアクセスできる12単語のシードを発生します。シードが、ビットコインのマスターパスワードとして機能するのです。
この種類のパスワードは、秘密のフレーズとも呼ばれ、セキュリティに対する新しい考え方を代表するものです。覚えにくい文字列によるパスワードの代わりに、長いフレーズを使います。Schneier氏によれば、パスワードクラッカーは一般的な辞書に載っている単語を組み合わせてクラックを試みるので、なるべく長いフレーズにすることが大事だそうです。
「xkcd」に、秘密のフレーズのアイデアをうまく表現したマンガがありました。
では、オリジナルの12単語のシードを作るにはどうしたらいいのでしょうか。その答えはとてもシンプル。12個のランダムな単語を考えればいいのです。
「Even in winter, the dogs party with brooms and neighbor Kit Kats.」というフレーズから始めることもできます。その際、シンプルなフレーズや、既存の文献からの引用は避けてください。ランダムな12単語を選んでも構いません。「antry duck cotton ballcap tissue airplane snore oar Christmas puddle log charisma.」のように。
12単語からなるこの秘密のフレーズをパスワードチェッカーにかけたところ、しらみつぶしの攻撃で解読できるまでに、238,378,158,171,207×(10の23乗)年かかるという結果が出ました。
3.PAOメソッド
何らかの記憶術が、パスワードの記憶に役立つこともあります。カーネギーメロン大学のコンピュータサイエンティストらが提唱した理論では、パスワードの作成および保管のために、PAO(Person-Action-Object:主語-動詞-目的語)メソッドの使用を推奨しています。
PAOメソッドは、Joshua Foerのベストセラー『Moonwalking with Einstein』で注目されるようになりました。その内容は、こんな感じです。
興味深い場所(たとえば、Mount Rushmore)の画像を選択します。馴染みのある、または有名な人(たとえばBeyonce)の写真を選択します。ランダムな目的語に対して、ランダムな動詞を想像します(たとえば、Beyonce driving a Jello mold at Mount Rushmore)。
PAOメソッドによる記憶術には、認知的に有利な点があります。私たちの脳は、ビジュアル、共通のヒント、そして突飛なシナリオが伴うものをよく記憶するという性質があります。複数のPAOストーリーを作って、ひとたび覚えてしまえば、それをもとにパスワードを生成することができます。
一例を挙げれば、「driving」と「Jello」から最初の3文字ずつ取って「driJel」とします。同じことを3つのストーリーで実施すれば、一見ランダムだけれど、あなたにとってはおなじみの、18ケタのパスワードを作ることができます。
4.発音とマッスルメモリー
私は、長い時間をかけて、風変りで珍しいランダムなパスワードを作るための独自のパスワードシステムの開発に努めてきました。私の手法は、2つの記憶術のチカラを借りるものです。それは、発音とマッスルメモリー。
- ランダムパスワード生成サイトに行く
- 数字と大文字の入った10文字以上のパスワードを20個作る。
- 発音に注目しながら、20個のパスワードを精査する。基本的に、頭の中で発音できるパスワードを見つけます。例えば、drEnaba5Et(doctor enaba 5 E.T.)やBragUtheV5(brag you the V5)など。
- 発音できるパスワードをテキストファイルに入力し、入力しやすさと入力にかかった時間をメモする。入力しやすいパスワードほど、マッスルメモリーに蓄積されやすいようです。
- 発音でき、かつマッスルメモリーに向いたパスワードを選び、残りは破棄する。テキストファイルをプリントアウトして取っておく。
よく使うサイトのパスワードを、1つずつ変えていきましょう。新しいパスワードを完全に記憶するまでには何回かの入力が必要になりますが、何回も繰り返していくうちに定着していきます。私は、何年も前にこの手法で作ったパスワードを、今でも覚えているほどです。
安全なパスワードのために重要な次のステップ
安全なパスワードを作っても、もう1つ、何よりも重要なステップが残っています。それは同じパスワードを繰り返して使わないこと。
きっと、多くの人がここで挫折してしまうでしょう。ユニークなパスワードを作ってそれを記憶するのは難しいことですが、何度もやっているうちにかんたんになってきます。私は、毎日1つは、新しいウェブサイトかサービスにサインアップしています。つまり、1カ月に30個のパスワードができるということ。もちろん、それらすべてを記憶しておくことは不可能です。
ユニークなパスワードを作りつつ、同じものは二度と使わないのに、迅速かつ効率的にログインするにはどうしたらいいのでしょうか?
ここで再び、セキュリティと使いやすさのバランスという問題が訪れます。でも、この難しい問題を解決できるアプローチは、たくさん存在しているのです。
パスワード管理ツールへのサインアップ
パスワードの安全性を確保する最善の方法は、「LastPass」や「1Password」のようなツールを使うこと。あなたの代わりに、パスワードを記憶してくれます(必要なときには、ランダムパスワードも生成できます)。あなたに必要なことは、保存された各パスワードにアクセスするためのマスターパスワードを、1つだけ覚えておくこと。その1つを入力すれば、あとはツールにお任せしておけばいいのです。
パスワード管理ツールがブラウザやモバイルデバイスに内蔵されていることもあります。その場合でも、暗号化されたデータは安全に保管され、パスワードの検索もかんたんにできます。ほぼすべての事例において、パスワードマネジャーが最善の方法ではないでしょうか。唯一不便なのが、普段使わないデバイスやスポットからログインする場合。でも、めったにそんなことはないでしょう。
重要度の高いツール、アプリ、ウェブサイトではオリジナルパスワードを保持する
私が辿り着いたもうひとつの方法が、頭の限界に達するまで、とにかくパスワードを記憶するという方法です。メール、Facebook、Twitter、銀行などの重要なサイトにおいて、オリジナルのパスワードを使うのです。比較的重要度が低いサイトでは、共通(だけどクラックは難しい)パスワードを使用します。
この方法のリスクは、もちろん、重要度の低いサイトの1つでパスワードが盗難されると、すべてが危険にさらされること。でも、メール、SNS、銀行口座などの重要なものは安全が保てます。
ハイブリッドメソッド:パスワード管理+記憶術
2つの手法を混ぜ合わせるとどうなるでしょうか。重要かつ使用頻度の高いツールのパスワードは記憶して、残りをLastPassや1Passwordで管理するという方法です。
もしくは、LastPassや1Passwordがアクセスしにくい場所で頻繁に使用するパスワードを記憶してもいいでしょう。たとえば、よくログインするモバイルアプリなどです。
けっきょくのところ、どんなに複雑なパスワードでも、盗難されることはあるのです。パスワードが長いからと言って、完全に安全な状況になることは決してありません。フィッシング詐欺やその他のよくある手口に乗らないためには、機知と良識が必要です。そして、できるだけ、2段階認証を実施しましょう。
How to Create a Secure Password You Can Remember Later: 4 Key Methods | Buffer Blog
Kevan Lee(原文/訳:堀込泰三)
Image adapted from DVARG (Shutterstock) and Zeana (Pixabay). Illustration by xkcd. Photos by DanielSTL (Flickr), Jean-Etienne Minh-Duy Poirrier (Flickr), and J Brew (Flickr).