パスワードって何を設定してよいか困ったことはないですか?
あまり複雑なものやサイト毎に違うパスワードだと覚えられないから「名前+誕生日」とかでいいや。
という方は多いんじゃないでしょうか。
かくいう私も「名前+誕生日」で複数のサイトのパスワードを設定していたことがありますが、実はそれってかなり危険なのです。
今回は複数のサイトで使えて、覚えやすく、それなりに強度のあるパスワードを「楽に」作る方法を紹介します。
増える不正アクセス事件
経済産業省の調査によると、平成28年の不正アクセス事件の件数は1840件でそのほとんどが一般企業の被害です。しかしこれは氷山の一角で、実際に個人に対しての不正アクセス事件も頻繁に起きています。
出典:経済産業省「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」
記憶に新しいところだと、LINEの乗っ取り事件。
乗っ取られたユーザがブログやTwitterで報告していましたね。
LINEの事件は乗っ取られた本人に金銭的な被害はありませんでしたが、これが銀行のインターネットバンキングへのアクセス用のパスワードだったりすると何十万~何百万もの被害になります。
原因の第一位はパスワードの設定の甘さ
不正アクセスの原因の第一位は何かというと、それは「パスワードの設定の甘さ」です。
出典:経済産業省「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」
冒頭でも言ったように、「名前」「電話番号」「誕生日」など推測しやすいものだったり、文字数が少なかったり、誰もが設定しているものだと素人でも時間さえかければ推測することが可能です。
ちなみに、パスワード管理製品を手掛けるKeeper Securityが今年1月に「2016年に最もありがちだったパスワード」を発表した、ありがちなパスワードTOP5がこちら。
1位:123456
2位:123456789
3位:qwerty
4位:12345678
5位:11111
さすがにこのパスワードを設定している方はいませんよね・・・?
どんなパスワードだったらよいのか
よく言われるのが、
8文字以上で、大文字/小文字/記号/数字の中から3種類を含む
なのですが、これにプラスして、
サイト毎にパスワードを変える
も必要になります。
なかなかこれらを条件を満たすのは難しいと思いますよね?
でもツールやアプリも使わずに、考え方一つで簡単にこの条件を満たすことができる方法があります。
それがこれです。
キーワード(大文字+小文字)+記号+数字+記号+サイト名
一つずつ説明します。
キーワード(大文字+小文字)
今まで使っていた使い回し前提のキーワードです。自分の名前でもペットの名前でも乗っている車の名前でもなんでもかまいません。とにかく忘れないものにします。ポイントはどこを大文字にするか決めておくことです。1文字目なのか最後の文字なのか。
例)Tanaka、satoU、Suzuki、TaMa0
数字
これも使いまわし前提の数字です。なるべく推測しずらいものにしましょう。自分の誕生日や電話番号は避けたほうが無難です。
例)社員番号の下4桁、好きな歌手の誕生日
記号
これも使いまわし前提で記号を決めておきます。@でも#でも%でもなんでもかまいません。単語と単語をくっつけるために使います。
サイト名
登録するサイトの名前です。例えばツイッターなら「twitter」、フェイスブックなら「facebook」など。ただし長くて思えづらいと思った方は、最初の1文字だけでもよいです。とにかくサイトごとに違ったパスワードを設定することが大事なので。
以上のルールを元にパスワードを作成して強度を計測してみます。強度の計測にはMicrosoftのパスワードチェックサイトを利用します。
ツイッター
Tanaka%4488%twitter → 強度:とても強い
フェイスブック
Tanaka%4488%facebook → 強度:とても強い
クックパッド
Tanaka%4488%cookpad → 強度:とても強い
※強度は「とても強い」が一番強い
どうでしょうか。サイト毎にパスワードも変えていて、強度としても申し分ありません。
サイト名が複雑だったりわかりづらいものだったら迷うかも、と思われる方は、強度は落ちますがサイト名は最初の1文字だけでもかまいません。とにかくサイトごとにパスワードを変えるという点が重要です。
最後に
これで忘れにくく、しかも強度もあるパスワードを作ることができました。
このルールを知らない限り、素人ではパスワードの解析が難しいです。ただしハッカーなどの専門家から狙われた場合はどんなに強固なパスワードにしても破られる可能性がありますので過信は禁物です。
もしこれでも心配な方は、1年毎に記号の位置を変えるとかキーワードを変えるなどルールを見直すと良いと思います。
不正アクセスは被害にあってからでは遅いです。なるべく早くから対策しておいたほうがよいですね。