fossBytesに8月23日(米国時間)に掲載された記事「How To Create A Strong Password That's Hard To Crack?」が、クラッキングされにくいパスワードを作成する方法と、作成したパスワードを効率よく管理する方法を紹介した。

インターネットにおいては現在、推測されにくいパスワードを使い分けることは安全性を確保する上で最も基本的な手段とされている。推測されにくいパスワードを使うことに加え、使いやすさと安全性を両立したパスワード管理を行うことが重要とされている。

記事で取り上げられている推測されにくいパスワードを作成する基本的な方法は次のとおり。

  1. パスワードの基本となるアルファベットを考える。辞書に掲載されているものや、個人情報に関連するものは使ってはいけない。2つの単語をから新しい単語を合成して利用するなども手段もよい

  2. 数字を混ぜる。ただし、誕生日や電話番号などの番号を使ってはならない。

  3. $、#、&といった記号を混ぜる

  4. アルファベットは大文字と小文字の両方を混ぜる

  5. パスワードの長さは12文字以上20文字以下を基本とする

上記を基本としつつ、次のようなテクニックが取り上げられている。

  • ランダムパスワード生成ソフトウェア/サービスを利用する
  • 長い文章から単語の頭文字を抜き出してパスワードを作成する
  • ある人物がある場所で何かを行っているところを想定し、その文章からパスワードを作成する。例えば、トニースタークがセントラルパークでアイアンマンスーツを着た状態で飛んでいるという状態を想像し(Tony Stark is flying his suit over the Central Park)、そこからTsIFlyHSutOvrTCPというパスワードを想起する
  • 意味不明な文章からパスワードを作成する。例えば「サムダコタの希少な連結数字は不毛のぬかるむ夜を撒き散らす運命なり得るだろう」といった関連性のない言葉を組み合わせて文章を作り、そこからパスワードを生成する

強いパスワードを作成したとして、次の問題はそれらをどうやって管理するかになってくる。記事では次の2つの方法を紹介している。

  • パスワード管理ソフトウェアを利用する
  • パスワードを複数のレベルに分割する

パスワード管理ソフトウェアは便利だが、記事ではこのソフトに依存する傾向が強くなることを懸念している。このソフトウェアが使えない状態では、パスワードを思い出せずに使えないことが問題となる。こうした状況に対応するため、次のようにパスワードを3つのレベルに分ける方法を紹介している。

  • レベル1: カジュアルゲームサイト、ラジオポータルなど、それほど重要ではないパスワードはここに分類する。このレベルのパスワードは同じものを使ってもよいと考える
  • レベル2: Facebook、Twitter、Instagram、LinkedInなどのアカウントはこのレベルに分類する。パスワードは似ていたり、サービスに関連した文字を含めたりしてもよいが、それぞれに異なり推測が難しいパスワードを利用する
  • レベル3: ネットバンクのアカウントなど最も重要度の高いアカウントを分類する。パスワードはほかのパスワードと似ていてはならず、パスワード管理ソフトウェアを使ったり、紙に書き出したりしてはいけない

こうした分類を行った場合、覚えるパスワードは5つか6つになり、この程度であれば覚えることはそれほど難しいことではないとしている。

また、より管理を簡単にする方法として、アカウントに結び付ける電子メールアドレスを2つくらいに絞り込むことも挙げている。重要度の低いアカウント用の電子メールアドレスと重要度の高い電子メールアドレスの2つがあればよいだろうとしている。

2要素認証や生体認証など、認証を強化する技術の利用が進んでいるものの、基本となるパスワードそのものを推測されにくいものにすること、それらを効率よく管理することは、重要度の高いスキルとなっている。

強いパスワードを作る方法はさまざまなメディアが繰り返し取り上げているが、今回取り上げた記事では、管理する方法として複数のレベルに分割して考えるという点で興味深い。