安全で管理しやすいパスワードの作り方

photo credit: Darwin Bell via photopin cc

パソコンやスマートフォンなどで、色々なネットサービスを利用しているとそれぞれでIDとパスワードの設定をさせられるますね、これが結構面倒(>_<)

パスワードは、サービスによって文字数だとか利用可能な文字の種類が異なるためどんなパスワードにするか悩むことも多いかと思います。中にはセキュリティ上の理由から「定期的にパスワードの変更すること、過去何回かと同じパスワードは×」というように定期的にユニークなパスワードの更新を求めるサービスもあります。

ただでさえ悩むパスワードを「3ヶ月毎に変更しろ、過去2回つかったものと同じものはダメ」と言われると設定するネタが尽きてしまって、無理矢理ひねり出して設定したものの、次にアクセスした時にはパワスードを忘れてしまっていた、という経験をされた方もいらっしゃるかと思います。 今回は、安全で且つ管理しやすいパスワードの作り方をご紹介したいと思います。

結論は「パスワードを作るための自分だけのルールを作る」ということです。といってもそれだけでは何の事だか？ということになると思いますので、具体例を挙げて説明しますね。

どんなパスワードを作ればいい？

先にも書いた通り、パスワードの条件はサービスによって様々です。ネットバンキングのようなサービスではパスワードではなくて、予め配布された乱数表の特定の番号を入力するような認証方式を採用しているところもあります。ここでは、一般的にIDとユーザーが決めたパスワードで認証するようなより多くのサイトで使えるパスワードとして以下の条件を設定しました。

• 文字数は、8文字以上
• 使う文字種は、アルファベットの大文字、小文字と数字を混ぜる
• サイトごとに異なるものにする
• 定期的に更新する

【文字数】
文字数は長ければ長いほど安全ですが、覚えにくくなります。短すぎるパスワードを認めていないサイトがほとんどですので、8文字以上としました。以下の手順では8文字のパスワードを作って行きます。

【文字種】
最近はアルファベットと数字の混合を指定しているところが多くみられます。また大文字を含むところも多いです。一方で、”-“や”.”などの記号についてはサイトによって使えないところもあるので使わない方が良いでしょう。

【サイトごとに違うものにする】
サイトの認証は、IDとパスワードの組み合わせの方が多いと思います。仮にどこかのサイトでパスワードの漏洩があったとします。他のサイトでも同じパスワードを使っていたとすると、他のサービスに対しても同じID、パスワードでの認証が試されると不正にアクセスされる可能性がありますので、サービスごとにパスワードを違えておくべきなのです。

【定期的に更新する】
認証はIDとパスワードの組み合わせで行いますので、同じ組み合わせを使い続けていると破られる可能性が高くなります。IDは変更出来ませんので、パスワードの方を定期的に更新することでより安全な状態になります

以上の観点を基に具体的にパスワードを考えて行きましょう。

1.アルファベットの部分を決める

全部で8文字にしますので、まず4文字でアルファベットの部分を作成します。 アルファベットの部分を決める時に、注意しなければならないのは英単語(“dog”とか”apple”とか)を使わないということです。パスワードを破る手法の一つとして、辞書に乗っているような単語を片っ端から試して行く方法があります。英単語を使ってしまうと、この手法でパスワードを見破られてしまいます。ですので、全く意味の無いアルファベットの組み合わせを作りましょう。

なんでもいいのです、適当に目をつむってキーボードを押すでもいいです。4文字の組み合わせぐらいなら覚えることは可能です。ここでは”“spwa”“とします。(これもキーボードを見ないで押して決めました。)

2.数字の部分を決める

次に数字の部分を決めましょう、ここでは2文字の数字を作ります。 最初に書いた通り、パスワードは定期的に変えた方がより安全になりますので、定期的に変更することを前提にパスワードの作成日から決めることにします。今日は2012年12月28日ですので、年月日を2桁ずつに区切って全部足した数字をパスワードに使うとしましょう。

20 + 12 + 12 + 28 = “72”

パスワードの数字の部分は、”72”になりました。

3.サイトごとに違う部分を決める

サイトごとに異なるパスワードといっても、全部違うパスワードにするのは大変です。なので、パスワードの一部分を違うものにすることでサイトとごとに変えて行きます。

ただし、サイトごとに違う部分がランダムなアルファベットや数字ではやはり大変なので、サイトと関連づけられるようにしましょう。例えば、サイトのアドレスの先頭2文字を使うということです。

Twitterなら、”tw”itter.com
Facebookなら、”fa”cebook.com
Evernoteなら、”ev”ernote.com

というような感じです。

4.つなぐ

ここまでの3stepで作ったものをつなぐと8文字のパスワードが出来上がります。

spwa72tw : Twitter用のパスワード
spwa72fa : Facebook用のパスワード
spwa72ev : Evernote用のパスワード

それぞれ違うのは最後の2文字だけですが、仮にTwitterのパスワードが漏洩したとしても、Facebookにアクセスされることはありませんし、パスワードの漏洩が分かってから各サービスのパスワードを変更するまでの時間稼ぎは出来ますので、これでも十分です。

5.アルファベットの大文字を含める

文字種の中で、アルファベットの大文字を含めるようにしましょうとしていました。実際、これが条件になっているサービスもありますので、一文字でもいいので大文字を入れましょう。ただし、ここでもルールを決めます。

“先頭の一文字を大文字にする。” これは入力がしやすいです。多くの方は通常”Caps Lock”をオフにしていると思いますので、大文字を入力するためにはSHIFTキーを押す必要があります。先頭の一文字を大文字にするというのは英文入力時に普通に行う操作なので、入力しやすさという意味ではいいかもしれません。

Spwa72tw : Twitter用のパスワード
Spwa72fa : Facebook用のパスワード
Spwa72ev : Evernote用のパスワード

それじゃ、ちょっとひねりが足りない心配だということであれば、”サービスごとに違う部分を大文字にする”というのもいいかもしれません。

spwa72TW : Twitter用のパスワード
spwa72FA : Facebook用のパスワード
spwa72EV : Evernote用のパスワード

このあたりは好みもありますので、自分が入力しやすくて覚えやすいルールを決めましょう。

6.定期的に更新する

自分のパスワードが完成したので、定期的に更新しましょう。といっても毎回全部を変更するのは、手間が掛かりますし覚えるのも大変なので、Step2で決めた数字の部分を新しいパスワードを作成した日付で計算し直して新しいものに置き換えるだけでいいでしょう。そして、たまに全体のルールを見直してあげればより安全になります。

自分だけのオリジナルルールを作りましょう

ここまでで作ったパスワードは意味の無い文字列ですが、一定のルールで作ったものですので、覚えやすいと感じていただけたのではないでしょうか？これらのルールはあくまでも一つの例ですので、順序を入れ替えたり、文字数の配分を変えるなど自分が扱いやすいルールを決めていただければいいかなと思います。

ただし、IDやパスワードに数字で始まる文字列を使えないケースもありますので、先頭はアルファベットで始まるようにしましょう。