パスワードは、あっさり見破られることもある。どういうパスワードが駄目か? また、対策はどうするべきか? ──
パスワードには、次の背反性がある。
「覚えやすくすると、見破られやすい」
「見破られにくくすると、覚えにくい」
そこで、頭のいい人ならば、「覚えやすいが、見破られにくい」というパスワードを使おうとする。しかしながら、それは「言うは易く、行なうは難し」である。本人はうまいパスワードを使っているつもりでも、案外、見破られてしまうことが多い。
たとえば、「qwerty」というパスワードがある。これは、本人は得意なのだろうが、使われるパスワードの第8位である。これじゃ、隠していないのも同然だ。
なお、1〜4位は「123456」「password」「1234」である。丸見え同然。 (^^);
5位になって、ようやく、丸見えでないものがくる。それは、「pussy」である。……しかしこれも、モロ出し同然だ。 (すみません。 (^^); )
→ よく使われる危険なパスワードトップ500
上記サイトに、「1位 〜 500位の一覧」がある。ここにあるようなパスワードを使っている人は、さっそく、パスワードを改めましょう。
こんなパスワードを使っている人は、「セキュリティ観念がない」といわれても仕方ないですね。
( ※ 私は? ぎりぎりセーフというところかな。 (^^); )
──
なお、ちょっとまともなパスワードとしては、次の案もある。
「昔の恋人の名前の変形」
たとえば、昔の恋人の名前が
「沢尻絵里子」(sawajirieriko)
であれば、最後に 3 のような数字を付けて、
「sawajirieriko3」
のようなパスワードにする。これはまあ、ちょっと容易には、リストに出てこないだろう。
なお、絶対にまずいのは、「英単語(一般名詞)の組み合わせ」である。日本語に比べて英語のパスワードは、危険性がずっと高い。特に、固有名詞でなくて一般名詞を使うのは、非常に危険だ。
上記のリストにあるパスワードは、その意味で、大半が失格だ。
一方、「sawajirieriko3」ならば、「日本語であり、かつ、固有名詞」であるので、危険性はずっと低い。
だから、「覚えやすい」という利便性を確保しながら、パスワードを設定するのであれば、上記の方法が参考になるだろう。
( ※ ただし、固有名詞だとしても、地名は駄目である。地名は一般名詞も同様だ。特定の集団しか知らないような単語だけが有効だ。)
──
なお、プロバイダやブログへのアクセスならば、それほど神経質にならなくてもいいだろうが、銀行口座のような重用なサイトへのアクセスには、もっと神経質になる必要がある。
・ 番号はランダム
・ 桁数は多大
という二点が必要だ。
これについては、次の二通りがある。
(1) ソフト
パスワードの入力をソフトに管理させる。
「ソフトウェアを起動させるためのパスワードのみを記憶し、それ以外のは随時状況に応じてソフトから呼び出す」( → 出典 )
というわけ。ソフトの入手先なども、上記に記してある。
(2) 脳内変換
脳内でパスワードを作成してしまえばいい。そのための規則は簡単だ。
「ローマ字で表現してから、母音を削除する。(あ行のみは母音)」
例。
うさぎおいしかのやま
USAGIOISIKANOYAMA
USGOISKNYM
こうして、「USGOISKNYM」というパスワードを入手した。しかも、覚えるのは、きわめて容易だ。なぜなら、「パスワードそのものを覚えるのではなく、パスワードの元になる平文を覚える」だけだからだ。
( ※ 一種の暗号作成である。暗号文を覚える必要はなく、暗号文の元になる平文だけを覚えればいい。暗号化の規則はきわめて平易。)
( ※ この暗号化の方法を攻撃者に知られていても、問題ない。元の文章が推測されない限りは、実質的にはランダムな数字の羅列とほとんど同じである。厳密にはそうではないが、少なくとも、パスワード攻撃への耐性は圧倒的に強化される。)
( ※ 特に、固有名詞を使うと、耐性が高まる。たとえば、「沢尻絵里子」から、「swjrerk」という文字列を得る。文字数が足りなければ、適当に原文を長くすればいい。)
( ※ どういう固有名詞を使うといいか? 現代の有名人や、歴史上の人物は、絶対駄目だ。それでは普通名詞と同然である。かといって、高校や大学時代の恋人の名前だと、生々しすぎる。女房にバレると困る。 (^^); 私のお勧めは、小学生時代の、かわいい女の子の名前である。これなら、生々しくもないし。バレても大丈夫だし。……なお、オマケで、あだなを足してもいい。「えりぽん」とかいうような。)
(3) キーボード変換
ちょっとうまい方法として、日本語キーボードを使う方法もある。
日本語キーボードでは、ローマ字とカナがともに印刷されている。そこで、カナの方を見ながら、カナを打つ。
たとえば、一番左上には、
12345
という数字が並んでいるが、これをカナで読むと、
ぬふあうえ
となる。そこで、「12345」という数字を入力するときに、カナで「ぬふあうえ」と覚える。
以上は、法則だ。実際には、覚えやすい日本語を使う。すると自動的に、ランダムふうの英数字になる。
例。
ぬふあうえおや → 1234567
あいうえおかきく → 3E456TGH
さわしりえりこよ → X0DL5LB9
入力するときはもちろん、キーボード(のカナ)を見ながら入力する。
( ※ ここでもなるべく、言葉は固有名詞にすることが望ましい。単語はもちろん日本語だが、英語をカタカナ表記する外来語もOK。カタカナの外来語は、もはや英語じゃないので。)
[ 付記 ]
(1)
2番目の「脳内変換」という方法については、ほぼ同趣旨のことを前にも記した。
→ 泉の波立ち (2月15日)
これは、子音に変換するのではなく、数字に変換する方法だが。
(2)
この「脳内変換」については、もっと耐性を強化する方法もある。暗号化の規則を複雑化すればいいのだ。
→ Openブログ 「パスワード作成」
( 結果としてのパスワードは、アルファベットと数字の混合。)
※ このブログでも、本項と同じ話題を前に語っていたんだ。忘れていたが、今になって思い出した。 (^^);
(3)
関連する記事を紹介しておく。
→ パスワードを突破するまでの速度一覧
※ 「パスワードは長ければ長いほどいい」ということ。
(ただし、規則性が入ると、かえってまずいこともあるが。)
2009年01月09日
過去ログ
「私と Google のどっちが利口かな?」
と思いながら、そのページに行ってみた。もしかしたら Google の方がすばらしい方法を公開しているかもしれないし。わくわくしながら、ページを開く。
→ http://journal.mycom.co.jp/news/2008/06/10/032/index.html
そこに書いてあることは、……
「こうしてはいけません」
という「悪い例」ばかり。「良い例」は、何も書いていない。「ありふれたパスワードは駄目です」というのを、「ユニークなパスワードにしましょう」と言い換えているだけ。( Make your password as unique as possible. )
ま、そのための方法として、次の置換を教えてはいる。
s → $
o → O
l → 1
つまり、2ちゃんねる記法ですね。 (^^);
これは、「英語掲示板の禁止単語の回避」のためにしばしば使われる方法。
ass, hell などを a$$, he11 などと書く記法。
くだらん。そんなの、英語を使う人なら、誰だって知っているって。つまり、辞書攻撃の回避策にはなりません!!!
Google は馬鹿だと判明した。 (^^)v