のりブログ

ゲーム関連記事および雑記などを書いています。

パスワードの決め方と管理方法

こんにちは!のりです。

先日、Yahoo!アカウントをハッキングされて、いろんなページのパスワードを再設定したことにより、パスワードについて思ったことを書いてみたいと思います。

スポンサーリンク

 

まず、第一にパスワードはどんなに複雑に設定しても、流出やハッキングされてしまえば、意味がないということです。そのため、最近ではメールや銀行Webページ、他のサービス関連のWebページなどでは、トークンと呼ばれるセキュリティを設定することを強く勧めています。

トークンとは、特定端末で一度だけ使用できるパスワードを発行して、これを通常のパスワードとは別に入力して認証するシステムのことです。このシステムの使用例で有名なのが、ワンタイムパスワードです。

このトークンを使用していて、ハッキングされたという報告はかなり少なく、現状における最強のセキュリティと呼ばれています。

しかし、100%安全なわけではありません。トークンを使用していても、ハッキングされてしまった例はいくつかあります。しかし、決して手軽にハッキングできるものではなく、トークンが簡単に破られれば、簡単に銀行Webページなどがハッキングされ、不正にお金を引き出されたり、振り込まれたりする被害が急増することでしょう。そのような報告をあまり聞かないだけ、現状は強固なものと言えます。

また、トークンよりも強固なセキュリティが本当にないのかといえば、一つあります。ドングルと呼ばれるものです。会社PCなどを社外に持ち出す際に、USBメモリにトークンシステムが入っており、数秒間ごとに認証を行い、USBメモリを挿した状態じゃないと、PCを起動することができず、ログイン画面さえ表示されず、何も操作できない状態になるといったものです。もちろん、PC操作中にこのUSBメモリを引っこ抜けば、PCが動かなくなってしまいます。Webページなどでも、このドングルを使用すれば、PCにこのUSBメモリのドングル(以下、USBドングル)を挿している状態でなければ、ログインできないというシステムになるため、Web経由でのハッキングがほぼ不可能となります。

しかし、常にUSBドングルを挿して使用しなければいけないというのは面倒なもので、なかなか普及はしないでしょう。トークンさえまだまだ普及していないことを考えれば、ドングルは敷居が高いです。

ということで、Web関連のセキュリティとしては、現状トークンを設定するのが一番バランスが良く最良の方法と言えます。

と、トークンについて書きましたが、今回はここからが本題で、パスワードの決め方と管理方法についてです。

パスワードは、ハッキングされてしまえば意味がないとは言え、やはり単純なパスワードを設定するのには問題があります。トークンを設定していれば問題ないですが、単純なパスワードを設定していて、ハッキングにあった場合は、そのサービス側の責任にはならず、自己責任となってしまう場合が多いです。

ハッキングされるされないとは別に、ハッキングされた場合にサービス側が責任を取ってくれるか、全て自己責任になってしまうかが、パスワードの複雑さにかかっているのです。

銀行Webページなどで、勝手にお金を引き出されたり、振り込まれたりした際にトークンを設定しておらず、さらにパスワードが自分の名前や生年月日などの単純なものだったら、銀行側が保障してくれない場合もありえます。

トークンを設定しておらず、パスワードが複雑なものだった場合は、おそらく一回は保障してくれて、その後、トークンを設定することを強く勧められるはずです。それでも、トークンを設定せずに、再度ハッキングにあったら、もう保障はしてくれない可能性が高いです。被害額は自己責任となってしまいます。

ということで、トークンは別として、パスワードもしっかり考えなければならないということです。

では、まず始めに単純なパスワードとはなんでしょうか?

一般的には、自分や家族の氏名、自分の生年月日などと言われています。

仮に山田太郎さんという方がいて、yamada や taro というパスワードを設定したら、これは完全にアウトです。自己責任覚悟の単純パスワードです。

また、山田太郎さんが1月1日生まれだったとして、0101というパスワードをつけることは論外ですが、yamada0101でも論外です。また、意外と見破られやすいものとして、名前の子音を数字にすると言ったもので、仮にケイスケという名前の方がいたとして、子音が あ:1 い:2 う:3 え:4 お:5 として、ケ(え:4) イ(い:2) ス(う:3) ケ(え:4) ということで、4234といった暗証番号にするといったことがありますが、これは見破られやすいです。この形式をとってはいけないとは思いませんが、せめて自分の名前意外の好きな食べ物などにしたほうがいいでしょう。ちなみにケイスケさんは私の友人で、実際にこれで見破られて不正されそうになったことがあります。

それでは、複雑なパスワードとはどんなものでしょうか?

ネットでは、パスワード生成ツールというものもあり、試しに生成してみると、「tJ5cI3RNj1zvHFtq」というパスワードが生成されました。これなら確かに複雑です。セキュリティ面では全く問題ないでしょう。

しかし、自分で覚えていられないというデメリットがあります。自分で覚えられないのは、やはり不便ですよね。常にメモを見ながら入力することになってしまいます。

ということで、覚えられるパスワードをどうやって決めるかということについて、私なりの方法を書いてみたい思います。実際の決め方は、人それぞれなので、一般的な方法などはないと思います。

まず、仮に好きな食べ物として、「りんご」を選び、ringoというパスワードにしたとします。これだけでは単純なパスワードになりかねませんし、実際不安ですよね。

では、もう一つ「みかん」を選択して、ringomikanとしたとしましょう。実際にこのくらいのパスワードを付けている人なら中にはいるかもしれません。しかし、最近のパスワード仕様には、アルファベットの大文字と小文字、そして数字を1つ以上入れることを勧める場合が多くなっています。

では、大文字を含めるために、RingoMikanとしてみましょう。さらに、好きな数字として、「7」なんかを最後につけてみましょう。RingoMikan7となります。

一応これで、仕様に沿った複雑なパスワードとしては使用できます。

本当に複雑と言えるかは疑問ですが、一般的に使用されているパスワードはこのくらいの複雑さのものが多いと思います。

まあ、覚えやすいように、「りんごとみかんおいしいよ」として、「RingoToMikanOishii4」なんて付けると、長さもあり、結構複雑と言えるでしょう。

しかし、パスワードがそこそこ長くなってくると、やはり忘れてしまう可能性があるため、どこかにメモをしておかないと不安な方もいるでしょう。

その場合は、自分のPCにメモしておいたり、紙に書き出していたりするのが一般的だと思われます。しかし、そのメモを見られるリスクというものがあり、何かしらの対策がほしいところではあります。ということで、次はパスワードの管理方法です。

紙に書いた場合は、もう通帳や判子と同じで、隠したり金庫に入れるしかありません。泥棒に入られたらなすすべはありません。これはどうしようもないですね。

スポンサーリンク

 

しかし、Webページのパスワードなどは、PCのメモ帳などに書く人が多いでしょう。その場合は、メモ帳よりも、MicroSoftOfficeのWordやExcelがお勧めです。WordやExcelには、ファイルを開く際のパスワードを設定することができ、パスワードを設定しておけば、ウィルスやPCをハッキングされても、時間稼ぎができます。危なくなったら、パスワードを解除される前にファイルを消してしまえばいいですし、ファイルごとコピーされてしまっても、その間に別の端末で重要なパスワードを変更してしまえば何とかなります。

さらに、時間を稼ぐには、パスワードを直接メモするのではなく、簡単な暗号化や伏字にしておくとより効果的です。

「RingoMikan7」というパスワードをメモする際に、最初の文字さえ分かれば思い出せる自信があれば、R****M****7といったメモでもきっと思い出せるでしょう。

また、「RingoToMikanOishii4」でも、R****ToM****Oi***i4くらいのメモがあればだいたい思い出せると思います。

さらに、分かりづらくするには、まったく関係のない文字として、例えば「Z」は関係ない文字と決めて、ZR****ToM**Z**Oi***i4Zなんて適当にあちこちにZをいれることで、文字数も分からなくなり、解読に時間がかかるため、より時間稼ぎができます。

このくらい分かりづらい状態であれば、紙に書いてあって、他人に見られてもそんなに問題ないでしょう。

パスワードの決め方や管理方法、トークンなどは、実際にハッキングにあってみないと面倒くさくてなかなか対策しようと思えません。普通は、プログラマーなんてしていたらセキュリティ対策も完璧なんでしょと思うかもしれませんが、このざまです。(笑)

知識があっても、実際に対策するかしないかは、その人次第です。今回、実際に私がハッキングを受けて、セキュリティを強化しようと考えを改めました。もし、同じように面倒くさがって、セキュリティ対策をしていない人がいたら、是非知識だけでも取り入れて、実際にハッキングされたときに、すぐ対応できるようにしておくことをお勧めします。今すぐ対応して下さい、といっても面倒くさがりの人はしませんからね。(笑)私もそうなので、分かります。

といったところで、今回の記事はこんなところです。

以上、パスワードの決め方と管理方法 でした!