よつば手帖

メニュー
よつば手帖 よつばデザイン後藤の日々の記録

簡単なパスワードの使用は超危険!パスワードを推測しにくいものに設定する方法

LINEで送る
Pocket

photo-1440335680360-79703e7032f9

覚えやすいパスワードは危ないので今すぐ変更しよう

北川景子、長澤まさみら芸能人のFBのぞき見容疑の男逮捕 誕生日などからパスワード類推 – 産経ニュース 

芸能人のSNSが見られてたというニュースが出ています。しかし実は今に始まった事ではなく、定期的にこのような事件は起きています。
パスワードを忘れちゃったら困るので簡単なものに設定するのってありがちですよね。誕生日や車のナンバーや電話番号などに設定していたり。
ただ覚えやすい、思い出しやすいというのは「推測されやすい」という事でもあります。

パスワードがばれてしまう時

推測されてばれる場合と、総当たりでばれる場合があります。
良く芸能人がパスワードを突破されてしまうのは、推測しやすいものに設定しているからです。生年月日や飼っているペットなどの簡単にわかってしまうものが危ないというのは誰でもわかりますよね。

総当たり攻撃はパスワードに使用されやすい文字列で手当たり次第試してくるというもの。手動でやると大変ですが、プログラムで総当たりすれば時間の問題で突破されます。「password」とか「123456」とか使ってる人もたくさんいるはずなので、その辺りを試していけば何人か突破出来ます。
サーフィンやってる人のパスワードには「1173(良い波」が多いってのもどこかで読んだ記憶があります。

6文字とか8文字などの短いパスワードは簡単に突破されてしまいます。
パスワードは他人から推測されにくく、長いものであれば安全率は高くなります。
同じパスワードを使い回すというのはとても危険な行為なので、やってる方は今すぐやめましょう。

推測されにくいパスワードを考える方法

パスワードを自動で複雑なものに生成してくれるサービスは沢山ありますが、正直覚えられません。
どこかにメモしたりしないといけないのは面倒くさいという方もいると思います。
覚えにくいパスワードを管理するためのツールやアプリは存在します。
覚えられて推測されにくいパスワードに設定すれば良いので、推測されにくいパスワードを設定する例を紹介します

母音や頭文字を使う

古くからPCを使っている方には馴染みがあるかもしれませんが、昔はファイル名の文字数が限られていたため、短いファイル名でも判別できるよう子音をなくして名前をつけるような習慣がありました。

例:ぼたもち
「botamochi」の母音の頭文字だけ抜き出すと
「btmc」となります。

語呂合わせで数字を入れてアレンジする

語呂合わせで数字に変換する方法もあります。

例:ようかん
「youkan」の「よう」の部分を数字の「4」に変換します。
4kan

さらに記号に変換できるものは記号にするという方法もあります。

「4kan」の「a」を「@」にする。「4k@n」

思い出しやすい長めの文字列を指定する

パスワードは長ければ長いほうが安全になるので長くなりやすい歌などからひっぱります。好きな歌の一節や俳句や座右の銘から抜き出すというのも手です。

例:毎日毎日僕らは鉄板の(およげたい焼きくん)
「mainichimainichibokurahateppannno」の母音を抜き出す形式で 「mnmnbkrhtpn」

サービス名固有の文字列をつける

サービス毎にパスワードに固有の文字列を含める方法です。サービス毎に違うパスワードをつけやすくなります。

例:facebook
「facebook」の場合、最初の「f」と最後の「k」をとって「fk」をパスワードの何文字目かに含める等

【重要】マイルールでパスワードをアレンジする

前述した母音や語呂合わせの方法のみだとある程度は推測されてしまいます。
すべての文字を一文字ずつずらす方法など、最後に一定ルールで変換してしまうという方法もあります。

例:あんこ
「anko」をアルファベットの順番で一個ずつずらします。
「anko」を「bolp」に。
※「a」を「b」に、「n」を「o」にといった具合です。

最後にこのルールで変換するのも良いですし、さらにもう一文字ずらしたり、最初の○文字はずらすけど、○文字目以降はそのまま使うなど、自分でしかわからないルールで設定すれば安全性は高まります。

例えばFacebookのみで使うユニークなパスワードを設定したければ「fcbk」などと省略した後で、順番を入れ替えて(「kbcf」)、さらに一文字ずらす(「lcdg」)などをパスワードの一部に使用すれば(2文字飛ばしでサービス名を入れる)、推測される可能性はとても低くなります。

欠点として、複数のサービスのパスワードが同時に漏れた場合は推測される可能性はあります。

パスワードを守るために出来る事

推測されにくい、8文字以内の短いものを使わないというのが大前提で、さらにパスワード管理ツールの導入や二段階認証などは有効です。

最近では二段階認証などでショートメッセージなどと組み合わせないとログインできない仕組みも増えているので、それらがあるサービスでは必ず利用するようにしましょう。「めんどくさい」より安全性が優先です。

お見合いの席で秘密の質問の答えを聞くような質問をするという4コママンガを最近見かけましたが、秘密の質問も全然秘密じゃなくて調べたらすぐわかるものなのであの文化も変えて欲しいなとは思います。

この記事を書いた人
後藤賢司 よつばデザイン 代表
Webディレクター・デザイナー 日本, 東京&大分
著書
WordPressプロフェッショナル養成読本 [Webサイト運用の現場で役立つ知識が満載! ] (Software Design plus)
WordPressプロフェッショナル養成読本 2014年10月のすごいコンピュータ書で1位
現場でかならず使われているWordPressデザインのメソッド
現場でかならず使われているWordPressデザインのメソッド AmazonのWebデザイン、デザイン、デザイン・グラフィックスで1位