パスワードの問題が多くあるのに、なぜ変えないのですか?
パスワードのリセット問題や漏えい事件が多くなってきました。いまさら?パスワードの見直し?・・・意外と整理できていなかったり、ブラウザに記憶させたまま使っていたり、懸賞などの一時使用のつもりで作ったパスワードに「重要」なブレーズが入っていたり・・・棚卸ししてみる必要があります。
4月にはちょうど、「メールのID、パスワードの使い回しを突いた不正アクセス事件」が頻発していた(関連記事1、関連記事2、関連記事3)。その詳細を見ると、ほかから取得したIDとパスワードのセットを、別のサイトで使ってログインしているということらしい。
いくつかあるサービスで、筆者も同一のIDとパスワードを使っている可能性があった。自分のことなのに「可能性があった」と書いたのは、記憶があやふやになっていいたということ。もしかするとここにリスクが潜んでいるかもしれない。
漏えいしたパスワードが紐付けされる事件がありました。狙われた「使い回しアカウント」 以前であれば、紐付けなんて考えもしなかったことですが、単純に考えれば「あり」なのですね。というよりも、そんなに多くのパスワードを管理出来ないし、覚えられない弱点を突いてくれば簡単なのでしょう。結果が表しています。
例えば、今すぐに「英数記号が含まれる8文字以上」のパスワードを作って下さい!と言われても、すぐに作れる人がどれほどいるでしょうか? パスワード管理ツール等を使っていれば簡単ですし、覚える必要もありません。管理ツールのパスワードだけで、その先は必要もないでしょう。ただ、実際に管理ツールを使いこなしているユーザーがどれほどいるのか?って話です。
セキュリティのセミナー等でも、理想のパスワードは言われるのですが、実際の作り方について「ほとんど」聞いたことがありません。過去ブログでも何度も書いています。
グーグル提唱のネット利用11カ条にパスワードのお約束が4つ!作り方講座
パスワードの理想論を言われても、実務では役に立たないから、作り方を知るべし!(情報セキュリティ標語:パスワード編)
パスワードは英文字記号で8文字以上!って、だ・か・ら・・・どうすればいいの?
パスワードの在り方を説かれても、実際には役に立ちません。例えば、運転免許を持っているならば、事故の時の対応方法や、人命救助的なことを多少なりとも知っているはずです。もちろん「事故をおこさない」在り方も重要です。自動車の車輪や鳥の両翼と同じく、一方だけでは成り立ちません。
■ 作り方のネタ
1.聞こえた音、感じた色を文字に変える
犬の鳴き声も、犬種や大きさによって違いがあります。強く吠える場合と、甘えるような鳴き声も違います。自分で聞こえたものを、そのまま文字に変えてしまえば良いのです。
色についても、人それぞれに見え方が違うものです。黒でも「光沢のある黒」「マットな感じの黒」「深みのある黒」・・・と、色に形容を付けることで、おおくの表現方法が生まれます。
2.好きな歌のフレーズ
そのフレーズの一部分だけを使います。誰もが知ってる「仰げば尊し」ならば、aogbtots・・・とか、かな文字ならば36:@f@s6sd・・・となるはずです。一部のノートPCだと文字の配列が若干違うかも知れませんが、ほとんど大丈夫なはずです。フレーズを忘れることはないので、その部分的なところを摘まんでみます。
3.座右の銘
バカボンパパの「これでいいのだ!」という言葉であれば、krdiind!になります。数字が必要ならば、bybb88のようなものを加えます。歌のフレーズと変わりません。元ネタが違うだけなので、いくらでも応用は効くはずです。パパを88にしたように、似ている文字をあてるのも有効です。こんなのも使えます
■ キーボードの「かな文字」と「アルファベット」を混ぜる
上記法則を使いながら、かな文字とアルファベットを混ぜることで、気にしなくとも「英数記号」が含まれやすくなります。もしも足りなければ、=とか+などで繋いでみます。
1.アクセントになりそうな場所で「Shift」キーを混ぜるて大文字に
2.かな文字の場合に「濁点を省く」ことも有効
3.英単語でも、何語でもいいのですが、試験じゃないので「スペル間違い」は、パスワード辞書にも載ってないのでオススメです。
最後にマイクロソフトのパスワードチェッカーで強度を確認してみます。
また、ドットパスワードは、こちらを参照下さい。5点と4本の線で作る「Androidの指パスワード」強化法
家の鍵を同じはずなパスワードが、雑に使われているので、棚卸し&再設定の機会にしてみませんか?