強力なパスワードを作る法則とは? 意外と知らない「パスワード」のハナシ:今さら聞けない「認証」のハナシ(3/4 ページ)
私たちにとって身近になってきた「認証」の話。今さら聞けない認証の基本を、認証サービスを提供するパスロジ担当者が解説します。今回のテーマは知識認証の代表格である「パスワード」のハナシ。
オリジナルのパスワード作成方法を編み出す
パスワードを作って覚えるのではなく、オリジナルのパスワード作成方法を編み出して、それを覚えるという方法です。
要素の例
- 好きな言葉を選ぶ(ただし、自分や家族の名前や誕生日、住所など他人に公開している情報や、「password」「12345」やキーボード配列など誰でも思い付きそうな言葉はNG)
- 辞書を使ってランダムな言葉を選ぶ
- 現在時刻(実際にパスワードを作る時間ではなく、「今」この記事を読んでいる時刻)を4桁の数字にする
- 好きな顔文字を入れる
改造の例
- ローマ字読みして、子音だけ抜き出す
- 大文字・小文字を混ぜる
- 省略するのではなく、飾り文字を増やす
- 通常のキーボードの入力位置から指をずらして入力する
「要素」から3つ以上の言葉を選び、それを「改造」しながらつなげます。十分な長さになればOKです。これに、登録するサービスの名前を「改造」したものを加えます。この部分は登録するサービスによって変える部分です。例えば以下のようになります。
- 好きなテレビ番組の名前をローマ字読みして子音だけ抜き出す(母音のみの部分や、「ん」の部分などは覚えやすさ・語呂重視で調整)
例:ttwnds
- 現在時刻を4桁の数字にする
例:2034
- 好きな顔文字
例:*w*
- 登録するサービスの名前を短縮したもの
例:itm
これらを全部組み合わせると……「ttwnds2034*w*itm」になります。この方法であれば、サービス側のパスワード作成制限にもある程度対応できるでしょう。
しかし、この例のままパスワードを作るのはNGです! あくまでも「自分で作成方法を編み出す」ことが大事なのです。これは「パスワードの作り方の例」ではなく「パスワードの作り方の編み出し方」の例として考えてください。
いずれのパスワード作成方法にせよ、あとで思い出せる必要があります。パスワード自体を直接思い出すのではなく、「あのときこうやって作ったなぁ」と作り方の方を思い出して、連想するくらいの感覚で良いと思います。使っているうちに覚えることができるはずです。自信がなければ、紙に書いておいて、その紙をきちんと管理し、覚えたら紙を処分すればいいのです。
サービス側のパスワード作成制限は、もはや意味なし
「パスフレーズ」はサービス側の文字数制限のために、ほとんど使えない状況ですし、オリジナルパスワード作成ルールでパスワードを作っても、サービス側のパスワード作成の制限のために、例外が発生してしまう場合があります。
パスワード作成制限の例
(1)n文字以内にしないとNG
(2)数字・記号を使わないとNG
(3)英語大文字・小文字の両方を使わないとNG
このようなルールを見たことがあるかと思います。(1)は、サービス側で用意した設備の都合か、システムの都合で長さを制限せざるを得なかった時代の名残でしょうか。技術が進化した現在であれば、長さに制限を加える必要もないでしょう。
また、(1)を設定しなくてはならないようなシステムであれば、(2)〜(3)を設定して使用させる文字種を増やし、パスワードのパターン数を増やしたり、推測されにくい文字列を使わせるようにする必要性が理解できます。しかし、長さに制限を加える必要がなければ、こちらの制限も必要なくなります。自由なルールでパスワードを使うことができる環境でありながら、利用者側がランダム性のある長いパスワードを使う必要性を理解していることが理想ですね。
Copyright © ITmedia, Inc. All Rights Reserved.