前回は、複雑なパスワードを覚える必要がない「パスワードレス認証」という最新の手法を紹介した。今回は、金融系サービスなどで使うことを想定した強いパスワードの作り方と管理方法を解説しよう。
パスワード作成、3つのポイント
まずは「強くて覚えやすい」パスワードの作り方から。ポイントは3つ、「12桁(文字)以上」「日本語をローマ字に変換」「推測しづらいフレーズ」だ。
12桁以上を推奨するのは、桁数が多いほど総当たり攻撃に強いから。とはいえ、ランダムな12桁の文字列を覚えるのは難しいので、意味のあるフレーズを使う。1つのフレーズではなく複数(なるべく3つ以上)を組み合わせることで強固になる。
フレーズは日本語で考え、それをローマ字に変換する。外国語の辞書にないフレーズは海外からの辞書攻撃に強いからだ。自分だけが思い出しやすく、他人が推測しづらいものを考案しよう。そのうえで、一部の文字を入れ替えるなどの工夫をすればさらに強度が高まる。
例えば図1では、修学旅行で行った場所を基に14桁のパスワードを作成した。14桁と長いが、自分にとっては思い出の場所なので簡単に記憶できる。しかも、アルファベット大文字・小文字、数字と文字種も豊富。ほかにもいくつかの具体例を示したので、オリジナルのパスワードを作るときの参考にしてほしい。
図1 強いパスワードの3条件は、「12桁以上」「日本語をローマ字に変換」「推測しづらいフレーズ」だ。日本語をローマ字に変換するのは、外国語の辞書になく、外国人が推測しづらいため。フレーズは複数を組み合わせ、さらに一部を数字や記号に置き換えるなどの工夫をするとよいパスワードの桁数は強度を決める重要な要素だ(図2)。
図2 かつてパスワードは8桁が標準だったが、現在は12桁以上を推奨するサービスが多い。12桁以上では組み合わせの数が桁違いに多くなり、組み合わせをすべて試す総当たり攻撃に強くなるからだ大手セキュリティーベンダーのカスペルスキーのウェブサイトでは、パスワードの強さを判定できる(図3)。家庭用コンピューターで解読に要する時間を試算するもので、実際に試してみると8桁では12日、12桁では2世紀と大差がついた(図4)。
図3 セキュリティーアプリで有名な「カスペルスキー」のウェブサイトでは、パスワードを入力して、その強さを診断できる
図4 パスワードを入れると、一般的な家庭用コンピューターで解読に要する時間が表示される(12)。図1で例に挙げた「Kyo10Hi64maNa8」を1文字ずつ入力していくと、桁数が増えるほど所要時間が増え、安全性が高まることがわかった
