パスワードはどう決める?覚えやすくて強度の高いパスワード
Gmail、Amazon、Twitter、Facebook等をはじめとした、便利なWebサービスが増えて良い時代になりました。
しかし、それらのサービスでは避けて通れない「パスワード」
全部同じにして使いまわしたいけど流出したときに怖い…
そんな方に、私なりの覚えやすくて強度の高いパスワードの作り方を紹介します!
そもそも強度の高いパスワードって?
一般的には次のようなものが強度の高いパスワードと言われています。
- 桁数が多い
- 大文字・小文字が両方含まれている
- 数字も含まれている
- 記号も含まれている
- 不規則的
- 使いまわしていない
逆に次のような性質が多ければ、脆弱なパスワードと言えます。
- 桁数が少ない
- 数字のみ、小文字のみ、大文字のみ
- 記号無し
- 規則的
- 辞書に載っているような単語等
- 連続した同じ文字
- 複数のサービスで使いまわしている
2018年にSplashDataという会社が公開した、使ってはいけないパスワードのトップ10は次のようなものがあります。
- 123456
- password
- 123456789
- 12345678
- 12345
- 111111
- 1234567
- sunshine
- qwerty
- iloveyou
どれも規則的であったり、意味のある言葉だったりしますよね?
こういったパスワードは、辞書攻撃と呼ばれる手法で優先的に狙われてしまいます。
暗号のようなパスワードである必要はない
自動で生成されるパスワードってありますよね?
例えば、こんな感じの…
- t&3Qyd7j
- rfdQbLwK
- 3&WDfNA(iE5T
規則性がない分、パスワードとしてはとても強力です。
でも普通はこんなの覚えられるか!って感じなので別の方法で、強度の高いパスワードを考えていきましょう。
覚えておくことは3つだけ!強度の高いパスワードの作り方
では、さっそくパスワードを決めていきましょう!
まず、自分にとって覚えやすい、人物やキャラクターを思い浮かべてください。
恩師でも初恋の人でも好きなアニメキャラでも何でも良いです。
とりあえず私が好きな、「やはり俺の青春ラブコメはまちがっている」の「由比ヶ浜 結衣(ゆいがはま ゆい)」ちゃんを例に作ってみます。
由比ヶ浜結衣をローマ字表記にすると
YuigahamaYui
です。
ここから、子音だけ取り出してみます。
YuigahamaYui → YighmYi
子音が無い部分は母音を残していますが、これだけでだいぶ不規則的になってきました。
しかしこれでは桁数も少ないし、小文字しかないし、数字もないのでもう一工夫しましょう。
今度は前後どちらでも良いので、覚えやすい数字を3、4桁ほど付け加えます。
免許証に設定してる数字でも良いですし、なんなら自分の誕生日でも構いません。
由比ヶ浜結衣ちゃんの誕生日は6月18日らしいので0618にしましょう。
YighmYi → YighmYi0618
基本的にはこれをベースにして、あとは使いまわさないための工夫をします。
使用するサービスによってパスを変えて、なおかつ覚えられる方法…
それは、使用するサービス名の一部を抽出します。
GoogleとTwitterで頭の2文字を抽出する例を出してみましょう。
※抜き出す文字数や位置は任意で決めてください。
- Googleアカウントの場合 → go
- Twitterアカウントの場合 → tw
これを、先ほど決めたベースのパスワードの前後どちらかにくっつけます。
YighmYi0618go
twYighmYi0618
これでだけではまだ不安なので、好きなの数を決めて下さい。
ここでは2で決めてみます。
ベースのパスワードに含めた数字と、抽出した文字を、2文字ずつ前後どちらかにずらして、抽出した文字の2文字目を大文字にします。
ここでは後ろにずらします。
abcdefghijklmnopqrstuvwxyzabc...
YighmYi0618go → YighmYi2830iQ
twYighmYi0618 → vYYighmYi2830
これで完成です!
記号については、非対応のサイトがあったり、必須のサイトがあったりするので、私の場合は前後に記号を含めたものと2パターンで使用しています。
- 記号無し YighmYi2830iQ
- 記号有り !YighmYi2830iQ?
まとめ
覚えておくこと
- 好きな人物や数字を基にしたベースパスワード(使いまわせる)
- 使用するサービス名のどの部分を抽出するか
- 何文字前後にずらすか
これだけ覚えていれば、覚えやすくて強度の高いパスワードが作れます。
このやり方は私なりの一例ですが、ぜひ実践してみてください!
パスワード強度チェッカー
最後に、パスワードの強度を図れるサイトがあるので紹介します。
ちなみに、先ほど作成したパスワードの強度スコアは、
- !YighmYi2830iQ? 72%
- YighmYi2830iQ 42%
でした。
同じ文字が複数個になってしまったので強度が少し落ちてしまったようです。
私が普段使用しているものは、
- 記号有り100%
- 記号無し90%
でした!
【追記】パスワードが破られる時間
パスワードが破られるまでにかかる時間を調べられるサイトがあったので紹介します。
辞書攻撃や総当たりで狙われたときにかかるおおよその時間を計測してくれます。
この記事で作成したパスワードの場合は、
- !YighmYi2830iQ? 4億1,500万年
- YighmYi2830iQ 158千年
でした。
ただし、実際は試行回数を制限して安全性を高めている場合が多いので、総当たりで突破されることはそうそうありませんが…(笑)