パスワードの強度アップ 秘密の質問は嘘も方便
記号を足して強度アップ
公私にわたって必要となるパスワード。誕生日や自分の名前、「password」といった安易な単語や数字を使っていないだろうか。
「パスワードは印鑑と同じ」。情報セキュリティー会社、ラックのチーフエバンジェリスト、川口洋さんは言う。漏れてしまったら、身に覚えのない請求が届いたり、不正に送金されたりすることがある。アカウントから住所が特定されストーカー被害に遭うこともある。IDが乗っ取られて迷惑メールをばらまくなど加害者にもなりかねない。
パスワードの管理は現代の大事なマナーだ。誕生日はソーシャル・ネットワーキング・サービス(SNS)から特定されやすい。自分の名前とともに絶対に厳禁だ。
安全なパスワードを作るにはどうしたらいいのか。基本は数字だけで作らないこと。川口さんは「パスワードの前後に『&』『#』『!』などの記号を加えると、推測されにくくなる」と話す。
意味のある言葉も避けた方がいい。辞書機能を持つ解析ツールで見破られるからだ。辞書といっても一般の辞書ではなく、パスワードによく使う文字列を集めたファイルのことで、辞書を基に類推して攻撃してくる。
桁数を多くするのも対策の1つ。4桁の数字の場合、組み合わせは0から9まで10種類の4乗となり、1万通りある。これが8桁になると10の8乗で1億通りに増える。
日本セキュリティ・マネジメント学会の常任理事、萩原栄幸さんは「アルファベットの大文字と小文字、数字、記号を含む8桁にすれば約576兆通りになる」と指摘する。最新のパソコンでありとあらゆるパターンでパスワードを破ろうとする総攻撃に遭っても、解析には平均0.9年かかるという。ただし「最初の3字をのぞき見されれば、残りの5字は1分24秒で突きとめられてしまう」。人から見られないよう、入力時には注意しなければならない。
萩原さんのお薦めは「自分にしか分からない文章を考えて、そこから子音だけを抜き出す」やり方だ。
例えば「毎週土曜は日経プラスワン」(表参照)。アルファベットにして子音を抜き出すと13桁だ。この場合、文字列の組み合わせはアルファベット26種類が13桁となるから26の13乗通りとなる。一部を数字にすれば36の13乗通りに増える。アルファベットの一部を大文字にすると62の13乗通り、記号まで加えると70の13乗通りで9千垓(がい)を超える。ここまでくると簡単には破られない。
「秘密の質問」嘘も方便
安全なパスワードを作っても、忘れないか心配だ。萩原さんは「紙に書いても構わない」と話す。「本棚の何段目の右から何冊目など、自分しか分からない場所に置けばいい」という。
重要なのは管理の仕方だ。川口さんは「ふせんにパスワードを書いてパソコンに貼るのは絶対NG」と助言する。特に会社では厳禁だ。周囲の人は意外に見ている。「貼るならせめてキーボードの裏など見えないところに」
私的なパスワードを勤務先で流用するのも避けたい。会社のパスワードが破られてしまうと、機密情報が漏れるリスクがある。パスワードについて社内規定がある場合は必ず守ろう。
どうしても覚えられない人は、パスワードを記録・管理するパソコンのソフトやスマートフォンのアプリを使う手もある。口コミ評価など信頼性の高いものを選びたい。
見落としがちなのが「秘密の質問」だ。パスワードに加えて「お母さんの旧姓」「子どもの頃のペットの名前」などを聞かれることがある。「自分しか知らないと思って設定すると、SNSの情報で突破されることがある」(川口さん)。こうした質問には事実と違う回答でもいい。インターネット空間で自分の身を守るには、性悪説に立った方が良さそうだ。
(関優子)
[日経プラスワン2016年5月14日付]
ワークスタイルや暮らし・家計管理に役立つノウハウなどをまとめています。
※ NIKKEI STYLE は2023年にリニューアルしました。これまでに公開したコンテンツのほとんどは日経電子版などで引き続きご覧いただけます。