ハッカー集団によるユーザーIDやパスワードの漏洩、リスト型攻撃など絶え間ないに攻撃によって、LINE、Ameba、Yahoo、Google、各SNS、ネットショッピングサイトなどで不正ログイン、アカウント乗っ取りが多発しています。原因の一つは「パスワードの使い回し」。では、それを回避しつつ覚える必要もない安全なパスワードの作り方でおすすめな方法を紹介します。とは?絶対避けたいパスワード、パスワード管理ツールなども紹介しますよ。
使い回しも、覚える必要もないパスワードの作り方
「基本型」と2つのルールでOK
「使い回し」をせずに、確実に思い出せ、しかも安全性が高いパスワードをいくつも利用するという芸当はんて我々凡人にできるのでしょうか?
NHKニュースではセキュリティー専門家がおススメする安全なパスワードの作り方が紹介されていました。おすすめパスワードの決め方は以下の通りです。
※ 以下の方法はメールアドレスやユーザーIDの作り方にも応用できますよ。
以下の通りに、まず「基本型」を作り、2つ以上のルールで変更するというもの。
この基本型を以下の2つのルールに則って変更します。(もっと安全性が高いのは自分の名前ではなく、自分と関係なく馴染みのある言葉や名前のほうがベターです。例えば武田信玄が好きなら、[自分の名前]の部分に takeda を利用します。)
ルール2.特定の箇所に特殊記号などを入れる
※ 以下はLINEを例にしていますが、LINEでパスワードが必要になるのは以下の時です。
- いつ機種変更してLINEアカウントを引き継げるようにする。
- パソコンからLINEへログインする時。
- LINEアプリを再インストールした後にログインする時。
例えば、田中さんがLINEにログインする場合、
基本型は「LINE+田中」つまり[ line-tanaka ]となりますが、それを以下のようにルールをつくり変更してあげます。
- line-t@naka(名前の一部を変更)
- $line-t@naka(特殊記号を前後に入れる。「前/後」に「ドル/円」は覚えやすいよ。)
これをYahoo!で応用する場合、基本型は「yahoo+田中」つまり[ yahoo-tanaka ]
- yahoo-t@naka
- $yahoo-t@naka
別の例としてGmail(Googleアカウント)なら、基本型「gmail+健二」つまり[ gmail-kenji ]となり、2つのルールによって以下のように変更させます。
- gmail-k^nji(「^」は特殊文字、「e」⇒「へ」⇒「^」と連想したもの。 )
- #gmail-k^nji@
(「#」と「@」は、機動戦士ガンダムの「シャー」と「アムロ」から連想させたもの。)
なお、ログインサービスによっては、「!#$%&*」などの特殊記号が利用できず、英数字だけのところもあります。その場合でも変更するルールをしっかり覚えておけば、忘れることもありません。
メモは忘れずに
これだけで、パスワードを使い回す必要もなく、サービスごとに異なったパスワードで使えますし、パスワードを一つ一つ覚える必要もないのです。これっていいじゃないですか!
でもルールを徹底しても、やっぱり人は忘れる者です。
ですから、パスワードをメモしておくことは必須です。
避けるべきパスワード
パスワードの使いまわしはもちろんのこと、ハッカーに推測されやすいパスワードを避けることも基本中の基本です。
※ とはいっても、破られないパスワードはこの世に存在しません。ネットで利用されているパスワードに利用できる文字は数字、アルファベット、特殊記号しかなく、プログラムによる総当たり攻撃(ブルートフォースアタック)でいつかは破られますから。(この攻撃でも破られないように各サービスは様々なセキュリティー対策、画像認証/2段階認証 等を施している。わがブログのログイン画面でも対策実施中。)
しかしできるだけ安全性を高めるために、以下のパスワードは絶対やめておきましょう。
だれでも思いつくパスワード
- 123456
- 123456789
- 111111
- password
- 7777777
・・・・
笑い声が聞こえ来そうですが、時代を通じて常に一番使われているのがこの「だれでも思い付くパスワード群」です。つまり数字の順番/アルファベット順、キーボードの配列順また規則的な繰り返しなどです。
毎年セキュリティー関連のニュースで話題になります。そうです、毎年話題になっているのに、”自分は大丈夫だろう”と考えているいるのでしょう、多くの人はこれは使い続けています。( 最もよく使われたパスワードは16年も「123456」:日本経済新聞 )
辞書にある言葉
- tanuki1234
- apple1234
- ringo9876
・・・・
好きな食べ物や地名など、身近な言葉と数字の組み合わせは「覚えられるけど、推測されにくい、大丈夫だ」と思われがちですが、ハッカーたちのアタックに優先的に利用されるパスワードだそうです。またしばしばみられるスペルミスもご法度だそうです。apleなど。
私も以前この手のパスワードをよく利用していました。
個人情報を含める
これもありがちですね。
一番思い当たるのは自分や家族の生年月日と名前です。
11月23日生まれの花子さんのパスワード・・・hanako1123
多くの方が今でもこの手のパスワードを使っています。私の身近では、うちの嫁さんです。この手のパスワードを今でも使っています...涙。
他にも
- 電話番号
- 住所
- 結婚記念日
実家の電話番号(多くの人にとって人生で最初に覚えた番号)もやめたほうがいいですよ。
短いパスワード
「短いのなら覚えられそう!」
私は経験上、短くても覚えられませんが・・・!
でも大抵の方の発想は「長いパスワードより短いパスワードのほうが速く入力できるし、間違いにくいでしょう!」というもの。
でも、1文字増えるだけで、何通りの組み合わせが増えるかを考えれば、パスワードの桁数が多いに越したことはないことが容易に理解できますね。つまりパスワードの強度を高める一番手っ取り早い方法が文字数を増やすことです。
たとえば、英数字(10+26文字)を利用した7桁と8桁は
- 7桁・・・78364164096
- 8桁・・・2821109907456
通りあり、格段に推測しにくくなります。
ちなみに8桁の英数字でなるパスワードで破るためには、今のコンピュータで346年かかるそうです。この年数は時代と共に変化しますけど。
パスワードが過去に漏れたものかを確認する方法
さてすでに紹介した方法で安全で最強のパスワードを作ったと思っても、それが過去に漏れていたパスワードだったらどうでしょうか?
ハッカーたちは過去に漏れたことのある膨大な数のパスワードと対応するユーザーID(メールアドレスも含む)のリストを持っています。
ハッカーたちはその漏れたIDとパスワードを組み合わせて総当たりし、あなたのネット銀行講座、SNSアカウント、ネット通販サイトアカウントの乗っ取りを企てています。
ですから自分が使うパスワードが過去に漏れた形跡がないかどうかを確認しましょう。そこで役立つのは無料で使えるGoogle拡張機能 Password Checkup – Chrome ウェブストア です。
これはChromeにインストールするだけで利用できます。動作は以下の通り。
たとえば、特定のWebサービスのアカウントを作るために、作ったパスワードを入力したり、すでに利用しているIDとパスワードの組み合わせでログインしようとした場合、瞬時に漏れた形跡があるパスワードかどうかを判断し、該当するなら警告を与えてくれます。
これからはブラウザはChromeを利用して、この拡張機能を常時ONにして利用するようにしましょう。
上記のGoogle拡張機能 「Password Checkup」は誤作動を起こすことがあるようです。
私は以下で紹介するパスワード管理、デジタルウォレット、パスワード生成 | ロボフォーム を利用していますが、パスワードをいくら複雑なものに変えても警告が表示されます。
おそらくバグだと思います。無視して使い続けています。
あなたのパスワードの強度を知る方法
さて以上のように、過去に漏洩したパスワードでもなく、安全で覚えやすいパスワードを作るわけですが、自分の作ったパスワードがどれほど強力かを確かめたいと思いませんか?
実は簡単に知らべる方法があります。それはセキュリティー関連サービスを扱っているWebサイトが運営しているページを利用することです。
※ この類のサービスの利用を気持ち悪いと感じるなら、パスワードの一部を変えたり、ブラウザをシークレットモード(プライベートモード)にして利用することをお勧めします。
一番有名どころは、マイクロソフトでしょう。
パスワード チェッカー: 強力なパスワードの使用 | Microsoft セーフティとセキュリティ センター
ちなみに上記でつくったパスワード【$yahoo-t@naka】(14文字)の強度を上記のページで計ってみたところ、以下のような結果になりました。
他にも、インテルやカスペルスキーなどもパスワード強度チェックツールを提供しています。
パスワード管理ツールの利用
一番おすすめアプリ/ソフト
「パスワードは覚えましょう!」
と言われても「覚えるのは無理!無理!絶対無理!」とおっしゃる方は、ユーザーIDとパスワードを管理するどんな方法があるでしょうか?
PCでもスマホでもブラウザにパスワード管理機能が搭載されていますよね。例えば、スマホならiOSのSafariでもパスワード管理機能が搭載されています。PCならChromeやFirefoxにも。しかし複数端末を常時利用している方は非常に使いにくくなります。
そこで、スマホやPCでも使えるパスワード管理ソフト/アプリがあればいかがでしょうか?たくさんのIDやパスワードを集中管理できるだけでなく、複雑で強力なパスワードを自動生成する機能も搭載されています。自動ログインも様々な認証方法(マスターパスワード、顔認証、指紋認証、2段階認証)があり、安全で快適です。
おすすめはあの悪名高き?「True Key」でしょう。
一時は迷惑ソフト扱いされていたパソコンソフトですが、今では多くのユーザーを獲得し、大手のITブログでも優良ツールとして取り上げられております。
なんといっても「True Key」は「インテル入ってる!」でおなじみのIntel謹製クラウドツールなんですよね。
「True Key」で16個以上のログイン情報を管理したいなら、有料版(年額2500円)が必要です。でもセキュリティーソフトのマカフィー利用者なら「True Key」の有料版を無料で使い続けられるということで、試しに使てみたら、パソコンやiPhone/iPadであまりに快適にログインできるので、最近「True Key」に乗り換えました。詳細は、iPhoneのパスワード管理アプリを迷惑「True Key」へ変更!意外に快適だった をご覧ください。
その他のアプリ
その他のパスワード管理アプリは以下の通り。
無料版なら
有料版なら1Passwordが定番。Mac、Windowsパソコンでも同期可能です。
私が最近まで利用していたのは RoboForm 。登録アカウント数は無制限の有料版PC版を購入すれば、スマホアプリの利用は無料です。(詳しくは PC版、iPhone版 、からどうぞ。)
RoboForm には Android版アプリもあり万能です。
他にも有名どころとして Lastpass があります。私も RoboForm を利用する前は利用していました。
以上、パスワード使い回しが問題に根源にある不正ログイン対策でした。しっかりルールを作ることが大切ですね。
コメント
マイクロソフトのパスワードに関するガイダンス
https://blogs.technet.microsoft.com/jpntsblog/2016/05/27/%E3%83%9E%E3%82%A4%E3%82%AF%E3%83%AD%E3%82%BD%E3%83%95%E3%83%88%E3%81%AE%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E3%82%AC%E3%82%A4%E3%83%80%E3%83%B3%E3%82%B9/
2. 文字の組み合わせ (複雑さ) に関する要件を廃止する
パスワードの複雑さ要件があることで、ユーザーは予測しやすいパスワードを設定する可能性が高まることが知られています。
ほとんどのシステムが、大文字や小文字の英字、数字や記号を組み合わせた複雑さの要件を定めていますが、多くの人が同じようなパターン (最初の文字は大文字、記号や数字は最後など) でパスワードを設定しています。攻撃者は、ユーザーのこのような傾向を把握して、パスワードの解読を試みます。