覚えやすくて強いパスワード 押さえたい3ポイントパスワード管理 キホンのキ(下)

前回は、複雑なパスワードを覚える必要がない「パスワードレス認証」という最新の手法を紹介した。今回は、金融系サービスなどで使うことを想定した強いパスワードの作り方と管理方法を解説しよう。

パスワード作成、3つのポイント

まずは「強くて覚えやすい」パスワードの作り方から。ポイントは3つ、「12桁(文字)以上」「日本語をローマ字に変換」「推測しづらいフレーズ」だ。

12桁以上を推奨するのは、桁数が多いほど総当たり攻撃に強いから。とはいえ、ランダムな12桁の文字列を覚えるのは難しいので、意味のあるフレーズを使う。1つのフレーズではなく複数(なるべく3つ以上)を組み合わせることで強固になる。

フレーズは日本語で考え、それをローマ字に変換する。外国語の辞書にないフレーズは海外からの辞書攻撃に強いからだ。自分だけが思い出しやすく、他人が推測しづらいものを考案しよう。そのうえで、一部の文字を入れ替えるなどの工夫をすればさらに強度が高まる。

例えば図1では、修学旅行で行った場所を基に14桁のパスワードを作成した。14桁と長いが、自分にとっては思い出の場所なので簡単に記憶できる。しかも、アルファベット大文字・小文字、数字と文字種も豊富。ほかにもいくつかの具体例を示したので、オリジナルのパスワードを作るときの参考にしてほしい。

図1 強いパスワードの3条件は、「12桁以上」「日本語をローマ字に変換」「推測しづらいフレーズ」だ。日本語をローマ字に変換するのは、外国語の辞書になく、外国人が推測しづらいため。フレーズは複数を組み合わせ、さらに一部を数字や記号に置き換えるなどの工夫をするとよい

パスワードの桁数は強度を決める重要な要素だ(図2)。

図2 かつてパスワードは8桁が標準だったが、現在は12桁以上を推奨するサービスが多い。12桁以上では組み合わせの数が桁違いに多くなり、組み合わせをすべて試す総当たり攻撃に強くなるからだ

大手セキュリティーベンダーのカスペルスキーのウェブサイトでは、パスワードの強さを判定できる(図3)。家庭用コンピューターで解読に要する時間を試算するもので、実際に試してみると8桁では12日、12桁では2世紀と大差がついた(図4)。

図3 セキュリティーアプリで有名な「カスペルスキー」のウェブサイトでは、パスワードを入力して、その強さを診断できる
図4 パスワードを入れると、一般的な家庭用コンピューターで解読に要する時間が表示される(12)。図1で例に挙げた「Kyo10Hi64maNa8」を1文字ずつ入力していくと、桁数が増えるほど所要時間が増え、安全性が高まることがわかった
次のページ
「1600年関ケ原」はパスワードに使ってはダメ
MONO TRENDY連載記事一覧