簡単に覚えられるサイトごとに異なるパスワードの作成方法

パスワード

こんにちは、平野龍(@rhirano_)です。

パスワードは、サイトごとに異なるものを使い、使いまわしては決していけないとよく言われますよね。

とはいえ、サイトごとに異なるパスワードを作成するのはなかなか難儀です。

自分のパスワードの持ちネタ?がなくなってしまうのですよね。

そんなことに困っている方に朗報です。

IPA(情報処理推進機構)が「コアパスワード」という、サイトごとに異なるパスワードでありながら、十分に強力で、なおかつ覚えやすいパスワードの作成方法を提唱しているのでご紹介します。

サイトごとに異なるパスワードを作成する理由

サイトごとに異なるパスワードを作成する理由は、「パスワードリスト攻撃」という攻撃が頻繁に起きているからです。

パスワードリスト攻撃とは、攻撃者がどこからか入手してリスト化したID・パスワードの組み合わせで、Webサイトにアクセスを試みて不正にログインする攻撃のことを言います。

入手先は、ダークネットという通常ではアクセスできないネットワークで、売買されているパスワード情報になります。

このパスワード情報は、どこかしらのサイトで漏えいしたパスワードをまとめて販売しているものになります。

そんなものどこから入手するのかという感じもしますが、大規模なものであれば以下のものがあり、気がついていなかったり、報告されていないものなどを含めるとかなりのパスワード情報が漏えいしていると言われています。

  • 2012年:LinkedInが650万件の暗号化パスワード漏えい
  • 2016年:Dropboxが約68,000件の暗号化パスワード漏えい
  • 2019年:宅ふぁいる便が480万件の非暗号化パスワード漏えい

暗号化されていれば大丈夫な気もしますが、ものによってはパスワードを復元化されてしまうものもあるので安心はできません。

このように漏えいしたパスワードを使い、攻撃者は複数のサイトにログインを試みます。

この時、パスワードの使い回しをしていると、パスワードを漏えいした以外のサイトでログインが成功してしまいます。

このように、パスワードリスト攻撃に対抗するためにも、パスワードはサイトごとに異なるものを作成する必要があります。

強いパスワード

強いパスワードというと、それだけで議論が起きそうな気もしますが、このサイトでは以下のように定義します。

  • 英字大文字、小文字、記号、数値を3種類以上含めて12文字以上
  • パスワードの強さは、ランダム性ではなく長さ

この条件を満たしていれば、強いパスワードということができます。

コアパスワードの作成方法

コアパスワードでは、最初にルールを作成します。

ルールの例として、以下のものを作成したとします。

  • 日本語をローマ字にする
  • 助詞を大文字い変換する
  • 末尾に「!!」と追加する
  • 末尾に「06」という番号を追加する

これで、「テレビが好き」というフレーズをコアパスワードに置き換えると、「terebiGAsuki!!06」となり、以下の条件を満たす強いパスワードになります。

  • 英字大文字、小文字、記号、数値を3種類以上含めて12文字以上

コアパスワードでは、さらにサイトごとに「識別子」を作成します。

識別子の例は以下のようになります。

  • Facebook → fcb
  • Twitter     → twt
  • Zoom      → zom

識別子を作成する際の注意事項としては、識別子の長さはできれば3文字程度にしておくことです。1文字にすると、サイトによってパスワードが重複することになってしまうからです。

そして、「識別子」と「コアパスワード」を連結すると、サイトごとに異なりながら覚えやすいパスワードの完成です。

  • Facebook → fcbterebiGAsuki!!06
  • Twitter     → twtterebiGAsuki!!06
  • Zoom      → zomterebiGAsuki!!06

おわりに

コアパスワードを使用すると、サイトごとに異なりながら覚えやすいパスワードを簡単に作成できることが分かったかと思います。

もし、パスワードの使いまわしをされているのであれば、早速パスワードをコアパスワードに変えるのはいかがでしょうか。

参考サイト

コメント

タイトルとURLをコピーしました