日本人が記憶できる強いパスワードを作る方法 | kyupinの日記 気が向けば更新
AmebaAmeba 20th Anniv.ホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

ブログ画像一覧を見る

このブログをフォローする

日本人が記憶できる強いパスワードを作る方法

現在のハッカーによるパスワード解析のレベルは非常に高く、簡単なパスワードは容易に破られてしまうという。ごく最近、以下のようなニュースがあった。

 

アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ。

 

また、以下のような記載もある。

 

ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。

 

個人的に、パスワードの使いまわしが最もリスクが高いと思う。

 

どうでも良いようなサイトはともかく、金融機関などはやや複雑で少しでも解析しにくいパスワードを設定したいものだ。しかも日本人でも簡単に覚えられるものが良い。

 

日本人が記憶しやすいものとして作家、アーティスト、芸能人などの名前が挙げられる。例として、「北杜夫」を連想の軸として決めてみよう。彼の本名は、「斎藤 宗吉」なので、これを知っていればこの組み合わせでも良いし、お兄さんの「斎藤茂太」でもかまわない。

 

例えばパスワードの決め方として、母音を入れず名字と名前の間に記号を入れ、2番目の名前の間に2つか3つの記号か数字を入れる方法を選ぶ。これは憶えられるものを適当に決めてよいと思う。スペースが入れられるサイトならなおよい。また、最初は小文字から始めその後は大文字とか、交互に繰りかえすなどの自分の規則を作る。

 

北杜夫、斉藤宗吉のペアでは、(母音を省く。ただし母音から始まる名字、名前は仕方なく入れる。大文字、小文字は交互とする。)以下のように必然で決まる。

 

kT#mR8$7sT&sKcH (見えないが末尾にスペースが入っている)

 

さて、この16文字のパスワードのセキュリティ水準はどのくらいでしょう?(参考

 

このセキュリティの評価だが、なんと

 

Excellent!

 

となっている。詳細は、以下の通り。

 

Password properties

 

Property  Value  Comment

Password length: 16 OK
Numbers: 2 USED
Letters: 10 USED
Uppercase Letters: 5 USED
Lowercase Letters: 5 USED
Symbols 4 USED
Charset size 94 HIGH (a-z, A-Z, symbols, 0-9)
TOP 10000 password NO Password is NOT one of the most frequently used passwords.

 

Brute-force attack cracking time estimateMachineTime

Standard Desktop PC About 143 quadrillion years
Fast Desktop PC About 36 quadrillion years
GPU About 14 quadrillion years
Fast GPU About 7 quadrillion years
Parallel GPUs About 717 trillion years
Medium size botnet About 143 billion years

 

このように解析まで天文学的な時間がかかることがわかる。なお、前半というか北杜夫+3つの記号数字、

 

kT#mR8$7

 

の評価は、

Medium
 

Machine Time

Standard Desktop PC About 2 thousand years
Fast Desktop PC About 46 years
GPU About 18 years
Fast GPU About 9 years
Parallel GPUs About 11 months
Medium size botnet About 2 hours

 

であり、早いデスクトップPCで46年、Parallel GPUsで11か月で解析できる。これはひょっとしたら、解析されうるパスワードだと思う。
 
パスワード以外では、Google 認証システム アプリが使えるサイトではぜひ2段階認証にしておきたい。これはアンドロイドではGoogle Playで無料でダウンロードできる。
 
注意したいのは、Google 2段階認証にした場合、もしスマホを紛失したらかなり面倒なことになること。スマホ紛失時に困らないように2段階認証にした際に、スマホ紛失時に使えるコードをメモかコピーしておく。このメモはできればUSBや外付けハードディスクなどに保存し、パソコン内やクラウドに置かない。

 

なお、2段階認証の際に、QRコードを2つ以上のスマホないしタブレットで読み取っておくと紛失時にあわてなくて済む。これでほぼ完璧である。

 

Google 認証システムは、QRコードか上記の紛失時用のコードで入力できるので、後で他のスマホないしタブレットに入力も可能である。しかし、スマホの時間が正確に合っていないと6桁コードの変更の時間がズレることに注意したい。

 

実際、ネット証券では自分の口座にしか出金できないので、ハッキングしたとしても盗むのは容易ではないと思う(ただし、勝手に倒産株を買われるなどいたずらはありえる)。むしろネットの銀行口座の方が他人に振込みできるのでリスクが高い。

 

上のような方法で、自分のパスワードはここ数年でかなり進化した。

 

それはパスワードの使いまわしがない上、全てExcellent!の評価になっており、しかも紙を見なくても間違えず入力できる。ただし、スマホで入力の際は数字、記号の際に切り替えが面倒なだけである。

 

2段階認証でやや理解できていないものは、自分のメールに6桁コードが送られてくるタイプ。これって、自分のメールアドレスが既にハッカーに破られている場合、なんとかなりそうな感じがしないでもない。

 

だから、複雑なパスワードとGoogle 認証システムのペアの方がなんとなく良いように思っている。(自信なし)

 

上の規則による他のパスワードの例。(奥の細道は「奥の」が名字で「細道」が名前)

 

松尾芭蕉・奥の細道

mTs#BsY8$7oKn&HsMcH (最後にスペース)

 

これは20文字もあり使えないサイトもあると思う。これももちろん、Excellent! である。(この方法だと、自分のパスワードの文字数が決まった数にならないのも良い)

 

 

 

 

 

ブログ画像一覧を見る

このブログをフォローする