2013年9月10日火曜日

覚えやすくて推測されにくく、サイトごとに管理できるパスワードとは

最近はいろいろなサイト情報で個人情報の登録を求められる。

ところが、登録するたびにパスワードを設定することが求められる。しかし、パスワードをそのたびに考えつくことはとても面倒だ。

パスワードに求められるのはだいたい、6文字から32文字の間で数字と文字の組み合わせだ。

それを一つ一つ、新たに考えるとなると面倒なので、ついつい同じパスワードを使いまわすこととなる。しかし、それには危険性がともなう。

パスワード流出はここまではっきりと分かる
どれか一つのサイトからパスワードが流出してしまうと悲惨だ。その人の名前とパスワードがあれば、
「この人、他のサイトにも同じパスワードで登録しているんじゃないか」
と誰もが予測する。面白半分にログインを試行錯誤された結果、不正アクセスされてしまう危険性が生じる。

「でも、パスワードが漏れることなんてめったにないでしょ?」
「漏れたとしても、一部だけなんじゃないの?」
と思うあなたは、認識が甘い。

流出したと思われるデータは以下の通りだ(調査したサイトを参考にして筆者がまとめたもの。確認はしていないので注意)。
・クレジットカード番号
・クレジットカードのセキュリティーコード(一部)
・住所、氏名、電話番号
・書き込みを行う場合のトリップ(固定したユーザー名を提供するもの)
・書き込み履歴(日時、スレッドURL、IPアドレス)
2ちゃんねるの個人情報流出事件をご存じの方も多いと思う。それでも、いまいちピンと来ない人も多いと思うので、某サイト(すでに閉鎖)で公開されていたリストの魚拓を撮っていたので、御覧いただきたい(個人情報の一部を黒塗りにした)
これほどはっきりとした形で、35,000件もの個人情報が流出したのだ。それは面白半分のハッカーの手によって、様々なサイトにアップされ、誰でも見られる状態が続いている。

2ちゃんねるという古参サイトですら、この程度。情報管理はどこの会社も案外甘いもの。同じようなことが、今後も必ず起こる。

危険なサイト以外でも、将来危険になる可能性がある
「2ちゃんねるのような怪しいサイトだから、そんなことが起きるんじゃないの?」
と思ったあなた、大間違いだ。

昔、日本版Facebookといわれた「この指とまれ!」というサイトがあった。ご存知だろうか。

★ この指とまれ!
ネット版同窓会をうたっていて、当時大流行したのでサイトに登録した人も大勢いるはず。このサイトの経営者には一時期、元暴力団組長が就任していた。
★ 暴力団とIT その2 ゆびとま社長逮捕
アングラ勢力は利用できるものはなんでも利用する。あなたのデータが誰かに譲り渡されていてもおかしくはない。

パスワードが流出した時にどのような悲惨な目に合うか、その体験談は下記にまとめられている。

パスワードを決める上での難点
では、どのように対策をとればいいのだろうか。
  • サイトごとにパスワードをバラバラに設定すること
  • 推測されないこと
  • それでいながら忘れないこと
といったところだが、まったく意味のない文字列を覚えること、いくつもあるサイトごとに使い分けることなどは、とても困難だ。

毎日アクセスするならば、自然に覚えることもあるだろうが、数ヶ月おき、時には数年前に登録したサイトのパスワードなんて、覚えちゃいない。

では、どこかにメモするしかないのだろうか? しかし、メモをなくした時や、メモを他人に見つかった時に、問題が生じる。

それではどうするべきか?

最初は標語の頭文字
パスワードは時には毎日使う。無意味なものを入力するよりも、何らかの意味をそこに込めておくと、入力するたびにそのことを思い出せるので自分のためになる。

かといって、意味のある文字列は推測されやすい。

そこで、スローガンなどの頭文字を取るという方法がある。

たとえば、
"Power To the People!"(人々に力を!)
だったら、"ptp"
"Stay Hungry. Stay Foolish"(望み続けろ、愚直たれ)
だったら、
"shsf"
"Follow My Heart"(心に従え)
だったら、
"fmh"
などと略す。その頭文字を、パスワードに転用する。パスワードを入力するたびに、自分のスローガンを思い出すこととなる。

参考:思わず使いたくなる「カッコイイ」英語のフレーズを探してみました

数字をはさみこむ
その後、数字3桁を入れる。できるだけ推測されないよう、誕生日などは使用しない方がいい。そこで、乱数表を使う。

★ パスワード・乱数 自動生成
これに数字だけを選択すれば、数字だけの乱数表を作ってもらえる(最初からこれでパスワードを作る方法もあるが、覚えやすさ、という点で難がある)

ドメインを利用する
最後に、サイトごとにパスワードを別にするために、そのサイトのドメインの最初の3文字、あるいはサイトの名称からアルファベットを3文字とって、末尾につける。
このサイトだったら「ama」とかね。

ラッキーナンバーを最後につけて、完成
それからさらに、自分のラッキーナンバーである数字を末尾に加える。イチローだったら、かつての背番号51をつけるだろう。

ここまですれば完璧ではなかろうか。

“好きな標語の頭文字+乱数表3文字+サイトのドメインの最初の3文字+ラッキーナンバー”
この規則性でパスワードを作成すれば、まあ、大抵の場合忘れないし、推測されないし、サイトごとに管理することも出来る。

順番は自分の自由に変えればいい。標語とドメインとをくっつけると、余計に意味の通らない単語となるために、あるサイトからパスワードが流出しても、ほかのサイトのパスワードを推測されにくいかもしれない。

ただでさえ覚えなくてはならないことが多い世の中だ。記憶のムダな負担は、できる限り少なくしたいものだ。

0 件のコメント:

コメントを投稿