2014年10月23日Webサイト運用

【お役立ち度120%】覚えやすくて安全なパスワードの作り方と管理方法のアイデア

【お役立ち度120%】覚えやすくて安全なパスワードの作り方と管理方法のアイデア

Webサイトの管理をしていると、さまざまなWebサービスのアカウントや圧縮・暗号化したファイルの解凍など、パスワードの入力を求められる場面がたくさんあります。

Webサイトの管理に関わらず、日常生活においても銀行、生命保険、自動車保険、SNS、クラウドサービス、メールサービスなどさまざまなアカウントを管理していると思います。

すべてのパスワードを共通にしてしまうと覚えやすくはありますが、ひとつ破られたらおしまいです。

とはいえ、たくさんのパスワードを個別に設定すると、とても覚えきれません。

というわけで、パスワード管理ソフトを導入。

そんな考え方もありますが、その管理ソフトのアクセスを制御するパスワードを設定しなくてはならず、しかもそれが破られたら一網打尽です。

そんなわけで、この問題を深く考えた結果のアイデアをご紹介します。
ちなみに筆者は、妻の携帯電話の番号さえうろ覚えな脳細胞の持ち主ですが、この方法を実践してすでに2年ほど、「パスワード忘れ」の局面も「パスワードが破られる」という事態にも遭遇していません。

パスワードの要件

今回のパスワードシステムでは、以下の要件を満たすように考えられています。

  1. 管理ソフトやメモを使わなくても覚えられること
  2. 十分な桁数を持てること
  3. パスワードを更新しても覚えていられる(可能性が高い)こと

1.については、メモや管理ソフトでももちろん対応できます。
2.については、桁数と安全性の関係について、こちらをご参照ください。

強いパスワードとは

現在の最新パソコンの処理能力でもパスワードを解読するための計算が何千年もかかるのであれば、それは解読できないことと同一であると考えられます。したがって、一般的にはパスワードに使用する文字の種類を多くしたり、桁数を大きくしたりすれば、強い(破られにくい)パスワードであるということがいえます。
(出典:IPA 独立行政法人 情報処理推進機構)

※4ケタの英字のみだと、普通のパソコンのスペックでも約3秒で解読されてしまいます。
3.については、記憶力の個人差にもよりますがだいたい何とかなります。

パスワードの構造

このシステムでは、パスワードを3つのパートに構造化します。
パスワードの構造化イメージ

 パートA(最初の○桁):パスワードを入力しようとした時に判断できる部分
 パートB(つぎの○桁):更新性のある部分(記録する部分)
 パートC(最後の○桁):暗証部分

つまり、自分が覚えなくてはならないのはパートCの部分だけでよいのです。
各パートの順番は、ご自身の好きなように決めても構いません。

パートA:パスワードを入力しようとした時に判断できる部分

このパートは、覚えていなくてもパスワード入力時に「わかる」ようにしておきます。

たとえば、Webサービスの場合はサービス名の子音の文字や、ドメインの文字列のうち何ケタか。
パスワード生成例

あるいは、ファイルに対するパスワードロックの場合、ファイル名やファイルのプロパティ情報の中にある要素で構成するとよいでしょう。

パスワードを入力する前に取得できる情報の中から構成するわけです。

ちなみに、ルールを複雑化することで安全性を高めることができます。
複雑化の方法としては、

 ・辞書に載っているような単語にならないように
 ・記号や数字と組み合わせるとベター
 ・スペルを反対から読むみたいな安直なのは効果なし

が、ヒントになるかと思います。
筆者はこのパートを入力するのに、1秒程度考える必要がある方式を採用しています。

パートB:更新性のある部分

パスワードの安全性を確保するには、ある程度の期間でパスワードを更新することが有効な方法です。

そこで、このシステムでも更新性のあるパートを設定しています。

Webサービスのアカウントなど自分一人がユーザーである場合は、一定期間ごとに変更していっても忘れない方法をとるとよいでしょう。

たとえば、3カ月に1度変更する場合は、1年を4つに分けて、

 ・1月~3月 ⇒ 2014win
 ・4月~6月 ⇒ 2014spr
 ・7月~9月 ⇒ 2014sum
 ・10月~12月 ⇒ 2014fal

のようなパターンです。

他にもアイデアとしては、大相撲の優勝力士の名前から生成すれば、1年に6回は変更できます。
白鳳が連続すると困りますが…

なお、パスワード管理ソフトや手帳へのメモなどで管理する場合、この部分だけをメモor記録するだけにしておけば、万が一メモを落としても管理ソフトのパスワードが破られても即座に全てのパスワードが漏れることはありません。

あるいは、ファイルに対するパスワードを設定して、他のユーザーと共有する場合もパートAとパートCは事前に取り決めておいて、このパートBだけを伝える形にすれば安全性が高まります。

パートC:暗証部分

このパートは、暗証部分なので確実に覚えられることが優先の条件になります。

とはいえ、先ほど挙げた、

 ・辞書に載っているような単語にならないように
 ・記号や数字と組み合わせるとベター
 ・スペルを反対から読むみたいな安直なのは効果なし

に気をつけて作ることをおすすめします。

暗証部分として強固なパスワードの作り方としては、こちらも参考になります。

パスワードの安全性を確認する(パスワードチェッカー)

こうして出来上がったパスワードの安全性を確認できるサービスがあります。

ただし、くれぐれも注意していただきたいのは、そんなサービスの罠(パスワードを抜き取る)もありうるので、

 ・見たこともないドメイン名のサイトでは入力しない
 ・アカウント名(ID)と同時に入力させるようなフォームには入力しない

という原則を意識しておきましょう。

ちょっと判定が厳しい感じもしますが、マイクロソフト社のパスワードチェッカーがこちらです。


いかがでしょう?

これで、すべてのWebサービス毎に違うパスワードを、十分な桁数で覚えていなくても、更新しながら使えるようになります。
実践している自分としては、更新する部分の桁数が多くなると大変なので、メモと併用しながら使っています。

なにせ、電話番号を覚えられないもので…

Getting Betterとは

企業の忙しいWeb担当者(Web担当者)の方のために、コーポレートサイトやオウンドメディアの運営に欠かせない情報やトレンド・ノウハウを解説するブログです。

日々のサイト運営のご参考になれば幸いです。

IMAGICA Lab.のWebサイト構築サービスについてはこちら
https://www.imagica-imageworks.co.jp/web/

「株式会社IMAGICAイメージワークス」は、2018年10月1日に「株式会社IMAGICA Lab.」となりました。

トップへ