パスワードや暗証番号の作り方と未来予想図：萩原栄幸の情報セキュリティ相談室（1/3 ページ）

これまで「パスワードクライシス」と題して、現在のパスワードが置かれている状況について述べてきた。今回は締めくくりとして、パスワードや暗証番号の決め方や将来像に触れてみたい。

[萩原栄幸，ITmedia]

　これまで3回にわたって「パスワードクライシス」と題し、現在のパスワードを取り巻く環境や管理方法について触れてきた。今回はその締め括りとして、前回にお伝えできなかったパスワードや暗証番号の決め方、そして、パスワードの未来像について述べてみたい。

前編はこちらから、中編はこちらから、後編はこちらからお読みいただけます。

パスワードや暗証番号を決め方

　筆者は、以前にNHKの「達人に学ぶ人間力アップ」にてパスワードの作り方を解説したことがある。そこでも触れたが、まず暗証番号の作成は、ご自身の好きなフレーズを思い浮かべ、携帯電話を開いてみよう。そこに答えがある。

　例えば、「たいやき」を思い浮かべてみたとしよう。10キーに当てはめると、「た＝4」、「い＝1」、「や＝8」、「き＝2」。つまり、暗証番号は「4182」となる。また、ローマ字に置換してその頭文字を活用する方法もある。「た」は「TA」なので「T」、これを10キーに当てはめると「8」。同じように「い」は「4」、「や」は「9」、「き」は「5」となり、「8495」だ。

　携帯電話を開くと前者のパターンで、スマートフォンでは後者のパターンで表示される場合が多いだろう。これらは、手持ちの携帯電話やスマートフォンさえあれば、すぐに変換できるメリットがある。

　パスワードも同じように、かな入力モードにして、例えば「おいしいおかし」と入力すると、「6EDE6TD」になる。強度を増すために特殊文字を挿入する。例えば、3桁目と6桁目に「％」と「＆」を挿入すると決めたなら、「6E％DE＆6TD」。大文字と小文字を組み合わせると、より強度が増す。

　文章で覚えることも可能であり、「私は7時40分に人間力アップを見ます」とした場合、これをローマ字にしてそれぞれの単語の頭文字と数字をつなげると「WH7J40PNNWN」となる。これを母体に上述のように加工をすることで強度の強いパスワードができる。

　パスワードはその性質上、桁数が多いほど解析が困難になる。15桁以上が望ましいが、システムの関係で桁数に上限を規定しているところも多い。英数字だけしか入力できないところなら、最低でも12桁以上はほしい。逆にセキュリティの観点から脆弱なものは利用しないといった防衛策もあり得るかもしれない。

　そもそも、パスワードは覚えられなければ意味がない。上述のような工夫をすることで、覚えやすくなるだろう。実は日本語の頻度分析をしてみると、上述のような方法では偏りが発生する。それでも覚えやすさや桁数の多さを重視すれば、実用的であると考えている。この偏りによる脆弱性は、自前の変換テーブルを作成したり、特殊文字を一定のルールで挿入（置き換えでも可）したりすることで強度を高めることができる。

　前回も触れたが、パスワードとは個人を識別する符号であり、その重要度から区別して管理をすることが大切だ。重要度が低いなら割り切って簡単なパスワードでもいい。あとは本人がどこで納得するかどうかである。ここでの例は一つに過ぎない。自分なりに方法を開発してみるのもいいだろう。

　不完全とはいえ、2要素認証（2段階認証）や3要素認証などの選択肢があるなら、そちらの方を選択すべきでもある（前回の分類に従えばランクAとCが該当する）。そこは利便性よりも保険として強度の高い方を選択するのが賢明だ。