最近不正ログインのニュースとかでパスワード変えた方がいいとか聞くけど、変えちゃったら他のサービスのパスワードと違くなるから変えるの厳しいな~。
え? パスワードもしかして一緒なの?
一緒だよ。
パスワードの使い回しはマズイよ。
どれかパスワード流出しちゃったら、他のサービスも「リスト型攻撃」されて不正ログインされちゃうよ?
う、、それは困る。ネットバンクとかあるし。。
なんか良い方法ない?
覚えやすくて管理しやすいパスワードの作り方なら知ってるよ。
ってか、ネットバンクとかの重要なサービスのは「多要素認証」の設定しときなね。
私のようなシステムエンジニアは、パスワードを覚えるのも仕事の一つなので、それこそ必死になって頭で反復しながら体で覚えますが、一般の方はそこまではしたくないと思うのが人情かと思います。
なので今回は、誰でも覚えられる(管理できる)複雑でセキュリティレベルの高いパスワードの作り方をご紹介いたします。
パスワードの使い回し。。あなたもしていませんか?
上の会話でも話にあがりました「リスト型攻撃」ですが、
パスワードリスト型攻撃とは、不正アクセス(不正ログイン)を試みる手法の一種で、あらかじめ用意したアカウント情報(IDとパスワードの組み合わせ)一覧をもとにログインを試みる手法である。
パスワードリスト型攻撃とは何? Weblio辞書
パスワードリスト型攻撃で用いられるアカウント情報は、どこか他のサービスなどから不正に入手したリストである。総当たり攻撃よりも、ユーザーが実際に使っている文字列の組み合わせに突き当たりやすく、不正ログインが成功しやすい。とりわけ、同じユーザーがアカウント入手先のサービスでも同じIDとパスワードの組み合わせを設定していた場合、つまりアカウント情報の使い回しをしていた場合、ピンポイントでログインできてしまう。
とあるように、攻撃側からしても不正ログインできる確率が高い手法なので、主流な方法と言われています。
ですので、パスワードの使い回しをしていると恰好の的です。
ご注意ください。
セキュリティの高いパスワードの指標
まずは、パスワードを作る上で、どのくらいの長さや複雑さがいいのか説明します。
パスワードの長さや複雑さ(英数・数字・記号)によってパスワード解読における時間は変わります。
下記の表は、その解読時間を表したものです。(少し古い資料ですので、最近のマシンスペックではこれよりも時間は確実に短いことが言えます)
私的な感覚で言えば、
8桁であるならば、大小英字+数字+記号は必須かなと思います。
IDパスワードを登録するサービスによっては、記号が不可のものもしばしありますので、
その場合は、12桁以上にしておけば問題ないと思います。
出典: https://www.ipa.go.jp/security/txt/2008/10outline.html
複雑だけど覚えやすいパスワードの作り方(管理方法)
では、複雑だけど覚えやすい(管理しやすい)パスワードの作り方をご紹介します。
この作り方(管理方法)の要点は「メモしてOK」な所にあります。
メモなんてダメでしょ!って怒られそうですが、使い方によっては問題ありません。
まず、下の図を見てください。
この例のように頭4文字だけ覚えて、後の4文字をメモで管理する方法であれば、
4文字なら複雑な文字であっても覚えやすく、後4文字が書かれたメモを盗まれたりしたとしても容易にログインができません。
また、この管理方法のメリットは、各サービス毎にパスワードを変えても管理しやすいのが特徴です。
例えばこんな感じです。
・頭4文字は複雑な文字で覚える
・後4文字はメモで管理する(各サービス毎に変える)
これなら誕生日や好きなものをパスワードに入れなくても管理できますよね。
パスワードのセキュリティレベルをよりあげるなら、最後に2桁~4桁決まった数字もしくは英字をいれると効果的です。
コメント