最近、アメリカ政府はパスワードに関する推奨事項を改訂したとThe Wall Street Journalが報じています。今までは、好きなフレーズを選び、その一部を「c4tlo^eR(=catlover)」のような記号や数字に置き換えるというものでした。しかし、このように人間にとっては短くて判読が難しいものも、コンピューターにとっては非常に単純なものです。

このようなパスワードではなく、コンピューターも人間も推測できない、長くて無意味な文字列を使わなければなりません。とはいえ、本当にランダムな文字列は覚えておけないため、私たちは結局、ランダムにしたつもりの推測しやすいパスワードを作ってしまいます。以下に紹介するガイドに従えば、本当の意味で強固なパスワードを作ることができます。そして、さらに効果的なのは、アプリにパスワードを作成、記憶してもらうことです。

パスワードを非常に長くする

あなたの敵は、パスワードを1つずつ推測しながら入力しているわけではありません。現実の敵は、巨大なデータベースを駆使する「自動実行プログラム」です。

最善の解決策は、非常に長い文字列を使うことです。ウェブコミックのxkcdが指摘しているように、普通の単語をたくさんつなげるのがうまいやり方です。

password_strength
意味のない単語をできるだけ長くつなげる。大文字、数字などをいれると、なおさら良い。
Image: xkcd

とはいえ、そうした日常用語を推測するために「辞書攻撃」を使うハッカーもいるので、大文字、特殊文字、数字を組み合わせるとなお良いでしょう。

ありふれたフレーズは使わない

単語をたくさんつなげるといっても、ほかの人とかぶりそうなフレーズを使ってはいけません。「ハムレット」の脚本をまるごとパスワードにしたとしても、同じことを考える人がほかにいれば、安全ではないからです。「When in the course of human events(アメリカ独立宣言の出だしのフレーズ)」などは最悪のパスワードです。同じく、有名な映画のセリフも避けたほうがいいでしょう。

また、あなたにとって重要な情報や、あなたを特徴づけるようなものから、パスワードを作ってはいけません。人間がパスワードを破ろうとする可能性もあるからです。たとえば、自分や子どもの誕生日は避けたほうがいいでしょう。

パスワードをテストする

パスワード管理ツールを使えば、パスワードの安全性をリアルタイムにテストできます。How Secure Is My Password?How Strong is Your Passwordといったサイトで、パスワードが十分な長さかを確かめられます。ただし、こうしたサイトでは、そのパスワードが有名なセリフのような、ありふれたフレーズかどうかまでは教えてくれません。

当たり前のことですが、よく知らないサイトにパスワードを入力するのは厳禁です。とはいえ、上で紹介したサイトは安全です。信頼できる開発者によって運営され、入力したパスワードもあなたのパソコンの外に出ない仕組みになっています。それでも、実際に使うパスワードは入力しないほうがいいでしょう。どんなパスワードがどれくらい安全なのか、事前に感触を確かめるために使用してください。

パスワードを再利用しない

利用しているサイトで、パスワードがハッキングされた場合、同じパスワードを使っている別のサイトも危険にさらされます。「重要ではない」サービスだからといって、脆弱なパスワードを使わないようにしましょう。いつの日か、そのサービスにクレジットカード情報を登録したり、ほかの重要なサービスの認証に利用したりすることになるかもしれません。そうなったときに、パスワードを強化するのを忘れていたとしたら、とても危険です。

パスワード管理ツールを使用する

パスワード管理ツールを使わないかぎり、上記のどのルールを試したとしても、脆弱なパスワードを作ってしまう可能性は残ります。たとえば:

  • ランダムなパスワードを作ったつもりが、「monkey dragon baseball princess」など、非常に一般的な単語を4つ組み合わせただけのものだった。結果、コンピューターにいとも簡単に推測される。
  • 思い出深い出来事にちなんだパスワードをつくろうとすれば、選択肢が狭まるうえ、コンピューターにも簡単に推測されてしまう。
  • コンピューターが推測できないパスワードを作ったはいいが、「パスワードを忘れた」と事態に。結局、脆弱なパスワードに変更し、コンピューターに推測される。
  • TwitterやFacebookなどSNSのフォロワーが推測しやすいパスワードを作ってしまい、人間のハッカーに破られる。

こうした失敗を防ぐために、コンピューターにパスワードを作らせ、コンピューターに記憶させてください。それが、ネット社会が要求する膨大な数のパスワードを管理するための、便利かつ信頼できる唯一の方法です。

現在のベストチョイスはクラウドベースの『1Password』です。セットアップに少し手間がかかりますが、パスワードを複数のデバイスで同期できる優秀なパスワードマネージャーです。

1password
1Passwordは、マスターパスワード1つで、すべてのサービスのパスワードを管理することができる。
Screenshot: 1Password/YouTube

ほかにも、優秀で機能豊富なパスワード管理ツールがいくつかあります。どのツールも、あなたのかわりにパスワードを作り、記憶してくれる便利なものです。また、そのパスワードがどの程度安全かも教えてくれます。さらに、あなたが利用しているサービスがハッキングされた場合に、通知で知らせてくれるアプリもあります。

こうしたパスワード管理ツールのなかでも際立って特徴的なツールが、オープンソースの『KeePass』です。パスワードはクラウドではなくローカルに保存され、1つのファイルをマスターキーとして使うこともできるので、物理的なUSBメモリーをパスワードにすることさえできます。

『1Password』や『LastPass』のようなクラウドベースのサービスは、リモート攻撃に対してはやや脆弱です。とはいえ、これらのサービスはパスワードを強力に暗号化するうえに、マスターパスワードはどこにも保存されない仕組みです。たとえハッキングされたとしても、マスターパスワードさえ強固であれば安全性は保たれます。

つまり、あなたが覚えておくべきは、マスターパスワードのみ。上記のすべてのルールに従って、強固なマスターパスワードを作ってください。パスワードデータを複数デバイスで同期する場合はとくに重要です。パスワードサービスがハッキングされて、かつ、ハッカーにマスターパスワードを推測されてしまえば、あなたが持っているすべてのアカウントが荒らされ放題となります。

マスターパスワードを覚えられないときは、紙にメモして、財布など安全な場所に保管してください。ただし「マスターパスワード」などと書いておかないように。記憶できたら、すみやかにメモは廃棄しましょう(入力することで体が覚えるので、1〜2日で記憶できるはず)。

ブラウザにパスワードを保存してはいけない

ブラウザに保存したパスワードもハッキングされます。昨年、Operaに保存したパスワードの一部がハッキングされた事件がありました。また、Googleアカウントにも脆弱性があります。ハッカーはGoogleのセキュリティーを破る必要はありません。あなたを騙すだけでいいのです。ハッカーにとっては、ハッキングするよりも、Googleのフリをしてあなたにログインを要求するほうがずっと簡単です。Googleアカウントがハッキングされれば、パスワードが盗まれなかったとしても、大きなトラブルに見舞われることになるでしょう。

サイトのルールに従ったパスワードをつくる方法

銀行や医療サイト、図書館などは、まだ古いセキュリティー方式に従っているでしょう。パスワードを作るときに、最低1文字は記号を入れなければならないなどの、無意味なルールを押し付けてくるかもしれません(皮肉なことに、そうすることで文字の可能な組み合わせの数が減り、むしろ破られやすくなる)。

そんなときはまず、パスワード管理ツールでランダムに安全なパスワードを生成します。 そのあと、銀行などが要求するルールに合うように最小限の変更をほどこします。このとき、パスワード管理ツールでパスワードを編集するようにすれば、変更後のパスワードが弱くなっていないかをチェックできます。

とはいっても、どうしても覚えられるパスワードを作りたいという方は、「覚えられるけれど解読不能なパスワードの作り方」を参考にしてはいかがでしょうか。

二要素認証を使用する

二要素認証とは、パスワードに加えて、自分だけがわかる質問を入れる方式のこと。最小限の手間で、セキュリティーの層を1つ増やすことができます。ただし、二要素認証といっても、方式によって安全性に違いがあります。SMSでコードを取得する方式よりも、専用の認証アプリを使うほうがずっと安全です。とはいえ、いずれの方式でもパスワードだけに頼るよりは、二要素認証を使うほうが安全性は高まります。

秘密の質問は使わない

秘密の質問? ぜんぜん安全ではありません! 秘密の質問は、そのコンセプトが考案された1906年に対面で用いていたときには意味がありました。ですが「母親の旧姓」「通っていた高校の名前」「お気に入りのアイスクリームの味」などを、Googleで簡単に調べられる現代では無意味です。ハッカーがそうした情報を入手すれば、Amazonのテクニカルサポートに電話して、あなたになりすますことは難しくありません。

もし、秘密の質問を使うなら、パスワードと同じように扱ってください。でたらめな回答を作成し、パスワード管理ツールに保存します。秘密の質問はコンピューターではなく人間が答えるものなので、特殊な記号を使う必要はありません。そのかわり、わざとスペルをミスしたり、一般的ではない回答を作ったりします。パスワードを作るときには使えなかった創造的なエネルギーをここに注いでください。この戦略は、マスターパスワードを作るときにも使えます。

常にハッカーとの戦いである

パスワードは脆弱です。でも、すべてがそうなのです。指紋は盗まれるし、二要素認証に使うテキストメッセージは転送され、鍵はコピーされてしまいます。セキュリティー技術は善良な人々と悪者との果てしないレースです。テクノロジーの恩恵の多くを犠牲にでもしないかぎり、完璧に安全なテクノロジーを手にできないでしょう。

パスワード管理ツールをセットアップし、二要素認証を有効にしたとしても、それで終わりではありません。いつか、すべてが新しいセキュリティーシステムに移行し、適応しなければならない日がやってきます。それが、オンライン時代に生きる私たちが払わなければいけない代償なのです。


Image: welcomia/Shutterstock.com, xkcd, YouTube

Source: The Wall Street Journal, xkcd, How Secure Is My Password?, How Strong is Your Password, 1Password, KeePass, Opera

Nick Douglas - Lifehacker US[原文