JR原宿駅に展示されたIPAによるパスワードの強化を呼びかける"胸キュン"漫画風のポスターが話題になっている。
IPA、“胸キュン”漫画でパスワードの強化を訴求 - 原宿駅の大型看板に設置 | マイナビニュース
背景にはパスワードクラッキングによるサイト攻撃が頻繁に起こっていることがあると思われる。昨年も「リスト型攻撃が止まらない」という記事もあった。
ITpro NOW - 「リスト型攻撃」が止まらない:ITpro
「リスト型攻撃」はあるサイトから漏えいしたパスワードのリストにより他のサイトへ不正ログインを試みる手法だ。冒頭のポスターの趣旨とは若干異なるが様々なサービスに対する「パスワードの使い回し」も大きな問題だ。
最近はSNSを始め各種のウェブサービスが増えた。10個以上のパスワードを持っている人も今や普通なのではないか。「パスワードの使い回しをやめよう」と呼びかけても「どうやって複雑なパスワードを複数(たくさん)作り、それを忘れないでいるか」という方法を示さないと効果がないと思われる。原宿駅のポスターは現在、IPAの特設サイトで閲覧できる。複雑なパスワードを作ろうと呼びかけているようだが、たくさんの複雑なパスワードをどうやって保持・管理するのかという視点に欠けている気がする。
私のパスワードの基本は「思い出せるパスワード」だ。知人のN氏から教えてもらった。パスワードを忘れるのは仕方がない。忘れた時に思い出せる、つまり「どうやってパスワードを作ったかを覚えておく」ことが重要なのだ。
まずパスワードの基本として、パスワードを破ろうとする者の裏をかく必要がある。つまり
- 辞書に乗っている単語などを使わない
- 123456等の単純な並びのものは使わない
- 長さをある程度長くする
ということだ。ただしあまりパスワードを長くすると誤入力が頻発する。長さは8〜15文字くらいだろう。
私のパスワードの作り方は以下のようなものだ。
まず思い出せるようなフレーズを考える。例えば「私はR100GSが好き」(私は空冷OHV BMW R100GS というオンボロバイクに乗っている)
英語にすれば "I love R100GS"。
適当に大文字にして "ILoveR100GS"。これで十分だと思うが、リスト型攻撃を防ぐためにもパスワードの一部にサービス名を入れてみる。例えば hatena のサービスに使うためには "HateneILoveR100GS" とか。
ミスタイプするかもしれないので頭文字などにして少し短くしてみる。"HILoveR100GS"。続いてよくハッカーがやるように一部のアルファベットを数字にしてみる。例えば i→1 o→0 e→3 特殊文字も使ってみる a→@ i→! ということで先程の例なら "H!L0v3R1ooGS" という具合。あまり文字変更を複雑にすると逆に思い出せなくなるのでホドホドにしたほうが良いかもしれない。それからサービスを表す文字が1文字だけではやはりリスト攻撃の対象になってしまうかもしれない。hatenaだったら"HTN"にするとかの文字数を増やす工夫をしたほうが良いかも。 "HTN!L0v3R100GS"などである。
しかしそれでもほとんど使わないサービスは忘れてしまうことがある。システムによっては初期パスワードのまま変更できなかったり、忘れた場合メール配信でリセットするなどの仕組みがない場合がある。そういう場合は「ノートにメモしておく」。
ダメじゃん、と言われそうだが、私の場合ちょっと見つかりそうにない場所にノートを隠してあるので、これで十分かなと思っている。とにかく最後は物理的にメモしておくのもある程度有効ではないかと思っている。付箋に書いて机上に貼っておくのは論外だが。
それから私の場合ブラウザーに覚えこませて同期してある。私の場合はもっぱら Google Chrome に覚えこませて同期してある。Chrome で同期する際「暗号化する」聞いてくるようであるし Google アカウント自体も2段階認証を利用しているので、ある程度は安全と思われる。Windows クライアントなどで複数ユーザがログインして使う環境だと漏洩する恐れもないこともないが、自分の場合はほとんど自分のみが端末を使う環境なのでこれで十分な気がする。
用心深い方だと同期サービスは使わないのはもちろん、自宅のPCのストレージも暗号化してるようだ。たしかに自宅で盗難されるリスクを考えるとそうした方が良いのかもしれない。しかし私の場合、面倒なので当面はストレージの暗号化は考えないつもりだ。
駄文なのだが、もし(ウェブ検索で)パスワード作りで悩んでいる方のお目に止まって少しでも参考になれば幸いだ。