たった２ステップで複雑なパスワードを作る秘訣

弊社へお問い合わせいただく質問に、

『パスワードを忘れてしまったので教えてくれ』

と言う内容がぼちぼちあります。

しかし、最近は元のパスワードを取り出すことができない様になってきており、 新たなパスワードを発行せざるを得ない場合がほとんどです。

加えて問題となることに、パスワードを強制的にリセットすると、 過去のデータにアクセスできなくなるシステムが増えてきていることです。

過去のデータが消えるのと同じですから、 どれだけ大変な事なのか、ご理解いただけるのではないでしょうか？

そこで本日は、

『たった２ステップで複雑なパスワードを作る秘訣』

をお教えします。

＜＜パスワード クラッキングの方法＞＞

先ずは、どんな方法でパスワードをクラッキング(解析)するのか、 代表的な2つの方法についてご確認ください。

◎ブルートフォース アタック

パスワードで使える文字の組み合わせを順番に試す方法です。 必ず解くことができますが、十分に複雑なパスワードの場合、 非現実的な時間がかかるので安全とされています。

◎辞書攻撃(ディクショナリー アタック)

ブルートフォース アタックでかかる時間を短縮するために、 パスワードとして登録しがちな文字列をあらかじめ用意しておき(辞書と呼びます)、 そこから順番に試す方法です。

この2つの方法を組み合わせてパスワードをクラック(解析)するツールなども、 インターネットで簡単に入手できるのですから怖いものです。

＜＜良いパスワードとは＞＞

一般的に良いパスワードとは、

「大文字・小文字」「英数字」「記号」を組み合わせた十分に長い文字列

とされています。

ランダムな文字列が良いともされていますね。

しかし、ランダムな文字列の組み合わせが故にパスワードを紛失すると言うリスクもあります。

また、憶えられないからと付箋紙に書いて貼っておく・・と言うのは笑えません(^^;

※PマークやISMSを取得予定の方で気をつけて欲しいのが、 パスワードはランダムで作る・・と言うようなテンプレートを そのまま使って審査を通してしまうことです。管理工数が跳ね上がりますよ！

＜＜安全なパスワードの作り方＞＞

本題の、複雑で安全なパスワードを簡単に作る方法についてです。

結論としては、「元の文字列の作り方」と「変換の仕方」をルール化しておく、です。

具体的に見ていきましょう。

◎元の文字列の作り方

• 「名前」や「サービス名」など何を使うか
• どうやってそれらを組み合わせるか

がポイントです。

例を挙げます。 氏名と会社の省略形を次の様に組み合わせる、で考えてみます。

• 氏/名：yamamoto/satoru
• 会社の省略形：dh
• ルール：氏3文字＋会社の省略形＋名3文字

上記から作られる文字列：yamdhsat

単純なルールですが、辞書からの単語の組み合わせでは出てこないでしょう。

しかし、このパスワードではまだ単純です。 9桁の英字のみですと、最近のパソコンなら数秒で解析できてしまいます。

◎変換の仕方

そこで、より複雑にするために変換のルールを加えてみます。

今回は、 「並べ替え」「記号変換」「数値変換」「大文字・小文字変換」 を組み合わせた例を挙げます。

• 並べ替えルール：最後の1文字を先頭に持ってくる
• 記号変換ルール：「a→@」にする、など
• 数値変換ルール：「s(えす)→5(ご)」「o(おー)→0(ぜろ)」にする、など
• 大文字・小文字変換ルール：最初の文字を大文字にする

このルールを上記の「元の文字列」に適用すると、 「Ty@mdh5@」です。

十分な複雑さを持っていると言えるのではないでしょうか？

文字列の長さや記号の利用が可能かどうかなど、 システムに合わせてルールを決めるのが良いと思います。

また、ルールの一部の設定をユーザーに任せることで、 管理者のみに依存すること無く作る事が可能です。