前回は、複雑なパスワードを覚える必要がない「パスワードレス認証」という最新の手法を紹介した。今回は、金融系サービスなどで使うことを想定した強いパスワードの作り方と管理方法を解説しよう。ここではビジュアルで解説する。
パスワード作成、3つのポイント
図1 強いパスワードの3条件は、「12桁以上」「日本語をローマ字に変換」「推測しづらいフレーズ」だ。日本語をローマ字に変換するのは、外国語の辞書になく、外国人が推測しづらいため。フレーズは複数を組み合わせ、さらに一部を数字や記号に置き換えるなどの工夫をするとよい
図2 かつてパスワードは8桁が標準だったが、現在は12桁以上を推奨するサービスが多い。12桁以上では組み合わせの数が桁違いに多くなり、組み合わせをすべて試す総当たり攻撃に強くなるからだ
図3 セキュリティーアプリで有名な「カスペルスキー」のウェブサイトでは、パスワードを入力して、その強さを診断できる
図4 パスワードを入れると、一般的な家庭用コンピューターで解読に要する時間が表示される(12)。図1で例に挙げた「Kyo10Hi64maNa8」を1文字ずつ入力していくと、桁数が増えるほど所要時間が増え、安全性が高まることがわかった「1600年関ケ原」はパスワードに使ってはダメ
図5 桁数が多くても、誰もが思い付くフレーズは役に立たない。ほかの人が同じものを使ってそれが漏洩し、漏洩したパスワード集としてネット上に流通している可能性があるからだ
図6 ID管理アプリを提供するLastPass(ラストパス)のウェブサイトでは、桁数と基準、文字種を選ぶだけでパスワードを自動生成できる(1)~(3)。基準で「Easy to read」を選ぶと、数字の「1」とアルファベット小文字の「l」のように紛らわしい文字が省かれる
図7 備忘のため、パスワードは手帳に記録しよう。その際、サービス名とID、パスワードは別々に記録して保管場所を分けるとより安全だ
図8 パスワードの定期変更はしなくてよい、というのが最近の考え方だ。定期変更を無理強いすると、次第に弱いパスワードを使うようになる傾向があるためだ(ライター 岡野幸治)
[日経PC21 2021年9月号掲載記事を再構成]
