パスワードの強度アップ　秘密の質問は嘘も方便

公私にわたって必要となるパスワード。誕生日や自分の名前、「password」といった安易な単語や数字を使っていないだろうか。

「パスワードは印鑑と同じ」。情報セキュリティー会社、ラックのチーフエバンジェリスト、川口洋さんは言う。漏れてしまったら、身に覚えのない請求が届いたり、不正に送金されたりすることがある。アカウントから住所が特定されストーカー被害に遭うこともある。IDが乗っ取られて迷惑メールをばらまくなど加害者にもなりかねない。

パスワードの管理は現代の大事なマナーだ。誕生日はソーシャル・ネットワーキング・サービス（SNS）から特定されやすい。自分の名前とともに絶対に厳禁だ。

安全なパスワードを作るにはどうしたらいいのか。基本は数字だけで作らないこと。川口さんは「パスワードの前後に『&』『＃』『！』などの記号を加えると、推測されにくくなる」と話す。

意味のある言葉も避けた方がいい。辞書機能を持つ解析ツールで見破られるからだ。辞書といっても一般の辞書ではなく、パスワードによく使う文字列を集めたファイルのことで、辞書を基に類推して攻撃してくる。

桁数を多くするのも対策の1つ。4桁の数字の場合、組み合わせは0から9まで10種類の4乗となり、1万通りある。これが8桁になると10の8乗で1億通りに増える。

日本セキュリティ・マネジメント学会の常任理事、萩原栄幸さんは「アルファベットの大文字と小文字、数字、記号を含む8桁にすれば約576兆通りになる」と指摘する。最新のパソコンでありとあらゆるパターンでパスワードを破ろうとする総攻撃に遭っても、解析には平均0.9年かかるという。ただし「最初の3字をのぞき見されれば、残りの5字は1分24秒で突きとめられてしまう」。人から見られないよう、入力時には注意しなければならない。

萩原さんのお薦めは「自分にしか分からない文章を考えて、そこから子音だけを抜き出す」やり方だ。

例えば「毎週土曜は日経プラスワン」（表参照）。アルファベットにして子音を抜き出すと13桁だ。この場合、文字列の組み合わせはアルファベット26種類が13桁となるから26の13乗通りとなる。一部を数字にすれば36の13乗通りに増える。アルファベットの一部を大文字にすると62の13乗通り、記号まで加えると70の13乗通りで9千垓（がい）を超える。ここまでくると簡単には破られない。

安全なパスワードを作っても、忘れないか心配だ。萩原さんは「紙に書いても構わない」と話す。「本棚の何段目の右から何冊目など、自分しか分からない場所に置けばいい」という。

重要なのは管理の仕方だ。川口さんは「ふせんにパスワードを書いてパソコンに貼るのは絶対NG」と助言する。特に会社では厳禁だ。周囲の人は意外に見ている。「貼るならせめてキーボードの裏など見えないところに」

私的なパスワードを勤務先で流用するのも避けたい。会社のパスワードが破られてしまうと、機密情報が漏れるリスクがある。パスワードについて社内規定がある場合は必ず守ろう。

どうしても覚えられない人は、パスワードを記録・管理するパソコンのソフトやスマートフォンのアプリを使う手もある。口コミ評価など信頼性の高いものを選びたい。

見落としがちなのが「秘密の質問」だ。パスワードに加えて「お母さんの旧姓」「子どもの頃のペットの名前」などを聞かれることがある。「自分しか知らないと思って設定すると、SNSの情報で突破されることがある」（川口さん）。こうした質問には事実と違う回答でもいい。インターネット空間で自分の身を守るには、性悪説に立った方が良さそうだ。

（関優子）

［日経プラスワン2016年5月14日付］