PR

12文字以上のパスワードを設定する

 では、リスクのある簡単なパスワードとは、どのようなものでしょうか。例えば、単語1つからなるパスワードで、誰もが思い付くようなものや元々設定してあるものが該当します。「password」などは、誰でも考える簡単なパスワードで、デフォルトのパスワードなどにも使われることが少なくありません。こうした簡単なパスワードは、一部あるいは全部を大文字にしても、ソフトウエアで簡単に作れてしまうために解読のしやすさはほとんど変わりません。

 人間は、ついつい簡単なものを選びがちで、数字を付けるときでも、10個の数字全てが均等に選ばれるのではなく、0を付けてしまうなど偏りがあります。また、oを0、aを@などの数字や記号に置き換えるという手法もありますが、組み合わせが固定的でクラッキング用に大量のパスワードを記憶させた「辞書」に含まれている可能性もあり、それほど安全とは言えません。簡単なパスワードには、このほかに「1234567」や「asdfgh(キーボードの並び)」などもあります。

 クラッキングを実行する場合、一般的にはありそうなパスワードを辞書にしておき、これを使ってログインが可能かどうかを試します。このとき、ある程度の時間をかけてもログインできなければ次のユーザーアカウントを試します。クラッカーは、著名人でもない限り、特定の1人のユーザーに多くの時間を割いたりはしません。このため、結果的にはパスワードが簡単なアカウントほど被害に遭う確率が高くなってしまうのです。

 セキュリティ関連団体であるJPCERT/CC(JPCERT コーディネーションセンター)によれば、記号を使わない12文字以上のパスワードは、英小文字+数字だけでも一定の強度を保てるということです。Webサイトは、パスワード入力を一定回数間違えると一定期間ログインできなくなる「ロックアウト」機能を持つところが少なくありません。このため、十分な長さがあれば、パスワードを知られてしまうことはないと考えてよいでしょう。一方でJPCERT/CCは、推測されやすい単語1つのみ、生年月日、数字、キーボードの配列順などの単純な文字の並びやログインIDは避ける、ほかのサービスで使っているパスワードを使用しない(要するに、使い回しをしない)といった注意点も挙げています。

 単語に不規則な文字を足すのは1つの方法だと思いますが、足すのが1文字のような短さだと他のサイトと重複し、結果的に使い回しになってしまう可能性があります。最近では、ブラウザーやOSがパスワードを記憶して入力を代行する機能があるものの、こうした機能が利用できず毎回入力する必要があるパスワード(例えば後述するパスワード管理ツールなど)があることを考えると、記憶できる複数の単語を組み合わせて12文字以上とするパスワードを考えるべきでしょう。このとき数字や記号を入れることができればより強固になりますが、ここは自分の記憶との兼ね合いで決めるべきでしょう。

 なお、一部のサイトでは、数字や記号の利用が強制されたり、文字数が限定されたりすることがあります。このような場合には、ルールの範囲で複雑なパスワードを考えねばなりません。例えば後述するパスワード管理ソフトで、ランダムな文字列からなるパスワードを生成する機能を使ってパスワードを作り、記憶させる方法があります。

 個別のパスワードにすると、覚えるのではなく、何らかの形で「記録」しておくべきでしょう。パスワードを紙に書いて引き出しにしまっておくといった方法も、それなりに有効です。スリなどのリスクを考えると、財布に入れて持ち歩くといった運用は避けた方がよいでしょう。また紙による管理は、パスワード入力の頻度が高い場合には少し面倒です。それで筆者は、ずっとパスワード管理ソフトを利用しているのです。

 以前は、パスワードを定期的に変更するのがよいとされて、いまでも、定期的な変更を要求するサイトもあるようですが、現在では、あまり効果がないばかりか、かえってセキュリティを落とす結果になる可能性も指摘されています。定期的な変更をして、パスワードがパターン化されたり使い回すようになったりすることが問題視されているといいます。