おすすめパスワードの作り方/決め方!たった2つのルールで使い回しも、覚える必要もなし!

PC,モバイル
2017.05.10

ハッカー集団によるユーザーIDやパスワードを含めた個人情報の漏洩が後をたちませんね。Twitter、LINEをはじめとするSNS、Amazonや楽 天 等のECサイト、ネットバンキングなどで不正ログイン、アカウント乗っ取りが多発しています。原因の一つは「同じパスワードの使い回し」。1つのサービスで漏れると他のサービスはほぼ全滅、乗っ取られます。この記事では、「パスワードの作り方がわからない」と嘆くあなたに、「同じパスワードの使い回し」せず、しかも覚える必要もない安全でおすすめパスワードの作り方/決め方を伝授します。加えて絶対避けたいパスワード、パスワード管理ツールなども紹介しますよ。

スポンサーリンク

おすすめパスワードの作り方/決め方とは?安全重視です。

§【ポイント】

「パスワードの作り方がわからない」と悩むあなたへのとっておきの提案とは?

  1. パスワードの基本形(=[サービス名の一部]+[自分の名前] 等)をしっかり覚える。
  2. 2つのルールで基本形を少しだけ変える。

「基本型」と2つのルールでOK

「同じパスワードを使い回し」をせずに、確実に思い出し、しかも安全性が高いおすすめパスワードなんて存在するのでしょうか?

NHKニュースでセキュリティー専門家がおススメする安全なパスワードの作り方や決め方が紹介されていました。おすすめパスワードの決め方は以下の通りです。

※ 以下の方法はメールアドレスやユーザーIDの作り方にも応用できますよ。

以下の通りに、まず❶「基本型」を作り、❷ 2つ以上のルールで変更するというもの。

おすすめパスワードの基本型
=[サービス名の一部]+[自分の名前]

この基本型を以下の2つのルールにのっとって変更しパスワードを決めます。(もっと安全性が高いのは自分の名前ではなく、自分と関係なく馴染みのある言葉や名前のほうがおすすめです。例えば武田信玄が好きなら、[自分の名前]の部分に takeda を利用します。

おすすめパスワードを作るための2つのルール
ルール1.名前の一部を変更する
ルール2.特定の箇所に特殊記号(&%$#等)などを入れる。ただし特殊記号を使えないサービスの場合は数字にする。

※ 以下はLINEを例にしていますが、LINEでパスワードが必要になるのは以下の時です。

  1. 機種変更する場合にLINEアカウントを引き継げるようにする。
  2. パソコンからLINEへログインする時。
  3. LINEアプリを再インストールした後にログインする時。

例えば、田中さんがLINEにログインする場合、

基本型は「LINE+田中」つまり[ line-tanaka ]となりますが、それを以下のようにルールを作り、パスワードを決めてゆきます。

  1. line-tnaka(名前の一部を変更)
  2. $line-t@naka\(特殊記号を最初と最後に入れる)

この例は「前/後」に「ドル/円」。(「\」はとても覚えやすいですが、避けることを推奨。なぜなら入力時にバックスラッシュ「\(バックスラッシュ)との区別がむずかしいので。)

ちなみに【$line-t@naka\】を記事後半で説明しているカスペルスキー・パスワード強度測定ツールで判定すると、一般PCで解読するための時間は3300年と判定。強力です。

これをYahoo!のログイン・パスワードで応用する場合、基本型は「yahoo+田中」つまり[ yahoo-tanaka ]

  1. yahoo-t@naka
  2.  $yahoo-t@naka\
ちなみに【$yahoo-t@naka\】を記事後半で説明しているカスペルスキー・パスワード強度測定ツールで判定すると、一般PCで解読するための時間は2000年と判定。けっこう強力です。

 

別の例としてGmail(Googleアカウント)のパスワードなら、基本型「gmail+賢治」つまり[ gmail-kenji ]となり、2つのルールによって以下のように変更させます。

  1. gmail-k^nji(「^」は特殊文字、「e」⇒「へ」⇒「^」と連想したもの。 )
  2. #gmail-k^nji@
    (「#」と「@」は、機動戦士ガンダムの「シャー」と「ムロ」から連想させたもの。)
さらに【#gmail-k^nji@】を記事後半で説明しているカスペルスキー・パスワード強度測定ツールで判定すると、一般PCで解読するための時間は3300年と判定強力です

 

以上のように、たった2つのルールで安全でおすすめなパスワードができちゃいます。

なお、パスワードを用いる基本キーワードを名字だけでなく、名前を入れることもおすすめです。パスワードは強力から最強になります。

例えば 【田中賢治】を用いる場合、基本形は【gmail-tanakakenji】

  1. gmail-tnakak^nji
  2. #gmail-tnakak^nji\

このパスワードは最強で家庭用PCでの解読は永遠に不可能という判定がでました。おすすめなパスワードの作り方です。単純に文字数が多ければ強力になっていきます。

なお、ログインサービスによっては、パスワードに「!#$%&*」などの特殊記号が利用できず、英数字だけのところもあります。その場合は、特殊記号ではなく数字を利用できます。

変更するルールをしっかり覚えておけば、忘れることもありません。これって本当におすすめな決め方ですよ。

スポンサーリンク

作ったパスワードは必ず手紙メモで保存しよう

安全あパスワードを作って、ノートにメモし、自宅に保管しておこう。

これだけで、パスワードを使い回す必要もなく、サービスごとに異なったパスワードで使えますし、パスワードを一つ一つ覚える必要もないのです。これっていいじゃないですか!

しかしルールを徹底し、おすすめなパスワードを作ったとしても、やっぱり人は忘れることがあります。

米国、英国、フランス、ドイツでの調査によると、パスワードを忘れるたびに行う再設定に平均3分46秒を費やしているそうです。日本も大して変わらないと思います。  パスワード忘れの現状と忘れない方法 | ExpressVPNブログ

ですから、パスワードをかならず手書きでメモしておくようにしましょう。スマホのメモ帳じゃないですよ。実際の紙とペンの手書きメモです。そしてこのメモ帳を、重要書類として保管しておきましょう。通帳や印鑑、または年金手帳などの重要書類といっしょにね。

私の場合は、「もしもの時に役立つノート」に遺言、年金手帳、通帳などを入れていますが、その中にパスワード帳も入れています。これって自分だけでなく、万が一のときに遺族も役立つんですね。

最近も親族が残していたパスワード帳で様々なサービスの解約を簡単に行うことができました。

なお手帳のパスワード帳を作らずに、「もしもの時に役立つノート」に直接書き込むことも可能です。私は一時期そうしていました。

目次に戻る

避けるべきパスワード

いくらおすすめパスワードを作ったとしても使い回したり、ハッカーに推測されやすいパスワードだったりしたらいずれ惨事が訪れることになるかも。

※ おすすめで安全なパスワードといえ、破られないパスワードはこの世に存在しません。ネットで利用されているパスワードに利用できる文字は数字、アルファベット、特殊記号しかなく、プログラムによる総当たり攻撃(ブルートフォースアタック)でいつかは破られますから。(この攻撃でも破られないように各サービスは様々なセキュリティー対策、画像認証/2段階認証 等を施している。わがブログのログイン画面でも対策実施中。)

しかしできるだけ安全性を高めるために、以下のパスワードは絶対やめておきましょう

だれでも思いつくパスワードはダメ!

  • 123456
  • 123456789
  • 111111
  • password
  • 7777777
    ・・・・

笑い声が聞こえ来そうですが、時代を通じて常に一番使われているのがこの「だれでも思い付くパスワード群」です。つまり数字の順番/アルファベット順、キーボードの配列順また規則的な繰り返しなどです。

毎年セキュリティー関連のニュースで話題になります。そうです、毎年話題になっているのに、”自分の場合は大丈夫だろう” と考えているのでしょう、多くの人はこれは使い続けています。

ちなみに、よく利用される年ごとのパスワード・ランキングはからTop 200 Most Common Password List 2022 | NordPass ご確認ください。

辞書にある言葉もダメ!

  • tanuki1234
  • apple1234
  • ringo9876
    ・・・・

好きな食べ物や地名など、身近な言葉数字の組み合わせは「覚えられるけど、推測されにくい、大丈夫だ」と思われがちですが、ハッカーたちのアタックに優先的に利用されるパスワードだそうです。またしばしばみられるスペルミスもご法度だそうです。apleなど。

私も以前この手のパスワードをよく利用していました。

個人情報を含めるは最悪!

これもありがちですね。

一番思い当たるのは自分や家族の生年月日名前です。

11月23日生まれの花子さんのパスワード・・・hanako1123

多くの方が今でもこの手のパスワードを使っています。私の身近では、うちの嫁さんです。この手のパスワードを今でも使っています...涙。

既婚者なら配偶者の生年月日、子供なら親の生年月日などを使っている人がどんなに多いことか。私もいまだに親の生年月日を、パスワードの一部に使っているライフラインサービスがあります。決しておすすめできません。

他にも

  • 電話番号
  • 住所
  • 結婚記念日

実家の電話番号(多くの人にとって人生で最初に覚えた番号)も絶対にやめたほうがいいですよ。

短いパスワードはもってのほか

「短いのなら覚えられそう!」

私は経験上、短くても覚えられませんが・・・!

でも大抵の方の発想は「長いパスワードより短いパスワードのほうが速く入力できるし、間違いにくいでしょう!」というもの。

でも、1文字増えるだけで、何通りの組み合わせが増えるかを考えれば、パスワードの桁数が多いに越したことはないことが容易に理解できますね。つまりパスワードの強度を高める一番手っ取り早い方法が文字数を増やすことです。

たとえば、英数字(10+26文字)を利用した7桁と8桁は

  • 7桁・・・78364164096
  • 8桁・・・2821109907456

通りあり、格段に推測しにくくなります。

ちなみに8桁の英数字でなるパスワードで破るためには、今のコンピュータで346年かかるそうです。この年数は時代と共に変化しますけど。

目次に戻る

パスワードが過去に漏れたものかを確認する方法

さてすでに紹介した方法で安全で最強なおすすめパスワードを作ったと思っても、それが過去に漏れていたパスワードだったらどうでしょうか?

ハッカーたちは過去に漏れたことのある膨大な数のパスワードと対応するユーザーID(メールアドレスも含む)のリストを持っています。

ハッカーたちはその漏れたIDとパスワードを組み合わせて総当たりし、あなたのネット銀行講座、SNSアカウント、ネット通販サイトアカウントの乗っ取りを企てています。

ですから自分が使うパスワードが過去に漏れた形跡がないかどうかを確認しましょう。

※ 📆 2022年07月15日(金) 追記:以下の拡張機能は現在使えません。

そこで役立つのは無料で使えるGoogle拡張機能  Password Checkup – Chrome ウェブストア です。

これはChromeにインストールするだけで利用できます。動作は以下の通り。

たとえば、特定のWebサービスのアカウントを作るために、作ったパスワードを入力したり、すでに利用しているIDとパスワードの組み合わせでログインしようとした場合、瞬時に漏れた形跡があるパスワードかどうかを判断し、該当するなら警告を与えてくれます。

これからはブラウザはChromeを利用して、この拡張機能を常時ONにして利用するようにしましょう。

上記のGoogle拡張機能 「Password Checkup」は誤作動を起こすことがあるようです。

私は以下で紹介するパスワード管理、デジタルウォレット、パスワード生成 | ロボフォーム を利用していますが、パスワードをいくら複雑なものに変えても警告が表示されます。

おそらくバグだと思います。無視して使い続けています。

目次に戻る

あなたのパスワードの強度を知る方法

さて以上のように、過去に漏洩したパスワードでもなく、安全で覚えやすいおすすめなパスワードを作るわけですが、自分の作ったパスワードがどれほど強力かを確かめたいと思いませんか?

実は簡単に調べる方法があります。それはセキュリティー関連サービスが運営しているページを利用することです。

※ この類のサービスの利用を気持ち悪いと感じるなら、パスワードの一部を変えたり、ブラウザをシークレットモード(プライベートモード)にして利用したりすることをお勧めします。

有名どころは、パスワードマネージャーで有名なRoboFormのパスワードチェッカーでしょう。

私のパスワードは安全かな?

ちなみに上記でつくったパスワード【$yahoo-t@naka】(14文字)の強度を上記のページで計ってみたところ、以下のような結果になりました。

また総合セキュリティーツール「カスペルスキー」のPassword Check | Kaspersky  も有名です。

すでに紹介したとおり、作成したパスワードの強度を一般的な家庭用PCで解読する場合にかかる時間で表現しています。上記の例は、33世紀つまり3,300年かかる計算です。量子コンピューターが実用化されるまでは、解読不能と考えてよろしいかと思います。

他にも、インテルやカスペルスキーなどもパスワード強度チェックツールを提供しています。

目次に戻る

パスワード管理ツールの利用

一番おすすめパスワード・アプリ&ソフト

「パスワードは覚えましょう!」

と言われても「覚えるのは無理!無理!絶対無理!」とおっしゃる方は、ユーザーIDとパスワードを管理するどんな方法があるでしょうか?

PCでもスマホでもブラウザにパスワード管理機能が搭載されていますよね。例えば、スマホならiOSのSafariでもパスワード管理機能が搭載されています。PCならChromeやFirefoxにも。しかし複数端末を常時利用している方は非常に使いにくくなります。

そこで、スマホやPCでも使えるパスワード管理ソフト/アプリがあればいかがでしょうか?たくさんのIDやパスワードを集中管理できるだけでなく、複雑で強力なパスワードを自動生成する機能も搭載されています。自動ログインも様々な認証方法(マスターパスワード、顔認証、指紋認証、2段階認証)があり、安全で快適です。

おすすめはあの悪名高き?「True Key」でしょう。

一時は迷惑ソフト扱いされていたパソコンソフトですが、今では多くのユーザーを獲得し、大手のITブログでも優良ツールとして取り上げられております

なんといっても「True Key」は「インテル入ってる!」でおなじみのIntel謹製クラウドツールなんですよね。(現在は総合セキュリティツールのマカフィーが運営。)

「True Key」で16個以上のログイン情報を管理したいなら、有料版(年額2500円)が必要です。

でもセキュリティーソフトのマカフィー利用者なら「True Key」の有料版を無料で使い続けられます。

私も使ったらPCやiPhone/iPadでめっちゃ快適にログインできるので、最近「True Key」に乗り換えました。詳細は、iPhoneのパスワード管理アプリを迷惑「True Key」へ変更!意外に快適だった をご覧ください。

他にもウィルス対策ソフト(セキュリティーソフト)に付属している以下のパスワード管理ソフトがあります。

  • ノートンIDセーフ:シマンテックのノートン(Norton)のスタンダード版以上に搭載されれています。
  • パスワードマネージャー:トレンドマイクロのウィルスバスターに搭載。
  • Tru Key:マカフィー リブセーフに付属。(上述)

その他のアプリ

その他のおすすめパスワード管理アプリは以下の通り。

有料版ですが 有名な1Passwordは定番です。Mac、Windowsパソコンでも同期可能です。

‎「1Password – Password Manager」

私が最近まで利用していたのは RoboForm 。登録アカウント数は無制限の有料版PC版を購入すれば、スマホアプリの利用は無料です。(詳しくは PC版 iPhone版 、からどうぞ。)

‎「パスワード管理 ロボフォーム」

RoboForm には Android版アプリもあり万能です。

他にも有名どころとして Lastpass があります。私も RoboForm を利用する前は利用していました。

以上、同じパスワード使い回しが問題の根源にある不正ログイン対策でした。しっかりルールを作ることがおすすめなパスワードの作り方です。

目次に戻る

コメント

  1. ああ より:
    2017年2月5日 11:03 AM

    マイクロソフトのパスワードに関するガイダンス

    https://blogs.technet.microsoft.com/jpntsblog/2016/05/27/%E3%83%9E%E3%82%A4%E3%82%AF%E3%83%AD%E3%82%BD%E3%83%95%E3%83%88%E3%81%AE%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E3%82%AC%E3%82%A4%E3%83%80%E3%83%B3%E3%82%B9/

    2. 文字の組み合わせ (複雑さ) に関する要件を廃止する
    パスワードの複雑さ要件があることで、ユーザーは予測しやすいパスワードを設定する可能性が高まることが知られています。
    ほとんどのシステムが、大文字や小文字の英字、数字や記号を組み合わせた複雑さの要件を定めていますが、多くの人が同じようなパターン (最初の文字は大文字、記号や数字は最後など) でパスワードを設定しています。攻撃者は、ユーザーのこのような傾向を把握して、パスワードの解読を試みます。

    返信