2017年06月18日

◆ パスワードは人名を使え

 ネットで使うパスワードとして、人名を使うといい。日本人の人名なら、短くて、覚えやすい。しかも、かなり強固だ。 (高齢者向け)

 ──

 ネットで使うパスワードとして、駄目なパスワードの例が示されている。
  → セキュリティ専門家が指摘する「使ってはいけない」パスワード

 例として、タレントの名前や、映画の題名などがある。「普通名詞でなく固有名詞ならば大丈夫だろう」というのが、初心者の発想だが、固有名詞であっても、著名な固有名詞は駄目だ。たとば、有名タレントの名前や、映画やアニメの登場人物の名前は、絶対に駄目だ。
 なぜか? 攻撃者は辞書攻撃をするからだ。この際、国語辞典みたいな辞書とは違って、ネットに良く現れる単語が使われる。そこでは固有名詞も多い。むしろ、固有名詞こそ危険だとも言える。だから、パスワードには、ネット上によくあるような固有名詞を使うべきではないのだ。

 とはいえ、推奨される「ランダムっぽい乱数みたいなパスワード」というのも、困りものだ。覚えにくいからだ。攻撃で突破されにくいとしても、自分自身が忘れてしまう。
 これはまずい。特に、高齢者は、物覚えが悪いので、「ランダムっぽい乱数みたいなパスワード」というのは不適切だ。


computer_password_wasureta.png


 そこで提案しよう。日本人の人名を使うといい。特に、身近な人の人名を使うといい。テレビタレントみたいな有名人の人名だと、ネットの辞書に掲載されているが、あなたの身近な人(親戚や知人)の名前なら、ネットの辞書には掲載されていないだろう。(ただし、ありふれた名前を除く。)

 ──

 ただし、いくつか注意点がある。

 (1) その人名の姓が自分と同じだと、危険度がやや高まる。
 (2) その人名の名が平凡な名前だと、危険度が高まる。たとえば、「太郎」とか「翔太」とか「景子」とか。
 (3) (姓なしで)自分の名前のあとに自分の誕生日を付けるのは、危険度が高い。

 上記のうち、(3) は非常にまずい。「有名人のアカウントのパスワードを突破した」という事件では、この方法が取られたらしい。
  → 北川景子、長澤まさみなど女性芸能人のアカウントがハックされる

 たとえば、「景子」という人の誕生日が「8月22日」だとわかっていれば、パスワードとして「 keiko0822 」「 keiko822 」というようなパスワードを想定する。こういうふうに、あっさりと類推が付くようなパスワードは駄目だ。

 一方、本サイトで推奨するのは、自分以外の人の名前(姓名)だ。たとえば、祖母の名前が「山根美鈴」であるなら、パスワードとして yamanemisuzu という人名を使うといい。この人名が辞書攻撃の辞書に載っている可能性は非常に低いからだ。それなりに安全性が高い。その一方で、とても覚えやすい。(祖母の名前を忘れる人はあるまい。)

 ──

 ここで、心配する人もいるだろう。「 yamanemisuzu 」というようなパスワードは、それなりに思いつく単語なので、ランダムな文字列に比べれば、安全性がずっと低いぞ、というふうに。
 しかし、普通の辞書攻撃に関する限り、その心配はいらない。なぜか? 
 辞書攻撃をする攻撃者は、同一アカウントに対してパスワードを大量に試行するよりは、別のアカウントに移る方が効率的だからだ。1つのアカウントに 1000のパスワードを試行するよりは、1000のアカウントに1つずつのパスワードを試行する方が効率的だ。( 1000 のアカウントについて試行すれば、そのうち、10個ぐらいは通過しそうだ。)
 同一アカウントに対してパスワードを多数回で試行するよりは、多数のアカウントに少数回で試行するのが、この手の攻撃の特徴だ。
 だから、サーバーの側では、「エラーが複数回あったら接続禁止」という方法では、万全ではない。そんなことは、攻撃者はもともと想定済みだし、それを回避するようにしている。「多数のアカウントに少数回で試行する」という形で。(1〜2回だけの試行かもしれない。)
 だからこそ、逆に言って、「ちょっと難しいパスワードにする」ということだけでも、十分に実効性があるのだ。個別のユーザーの側で対処するべきことは、「ありがちなパスワードの上位から外れる」ということだけで済むのだ。攻撃者は同一のアカウントに対して 1000回も試行することは(まず)ないからだ。
 だから、辞書攻撃の上位 1000 個から外れるだけでも、そこそこの安全度がある。特に、上位 10万から外れるような固有名詞(人名)ならば、辞書攻撃からはまず免れるだろう。それは日本語の人名では可能だ。外国語(英語)の辞書攻撃のパスワードに、日本人の人名がたくさん掲載されている比率は低いと思えるからだ。
( ※ 仮に日本人の人名で試行するとしたら、試行回数が非常に増えてしまって、非効率になる。そんな馬鹿げたことをするはずがない。)

 というわけで、「(有名ではない)身近な人の人名を使う」という方式は、かなり有効であるわけだ。特に、物覚えの悪い高齢者に、お薦めだ。

( ※ ただし姓名にすることが必要だ。姓なしで名だけにするのは絶対に駄目だ。)



 [ 付記 ]
 ただし注意。この方式が使えるのは、「万一パスワードがバレても致命的にはならない」という場合に限られる。たとえば、 twitter や evernote だ。仮にアカウントが乗っ取られても、いくらか不便になるだけであって、致命的にはなるまい。(普通の人ならば。)
 一方、そうでないこともある。
 たとえば、 twitter を仕事に使っている人(著名タレントなど)では、 twitter のアカウントを乗っ取られると、致命的になりそうだ。
 また、evernote や dropbox を学術用の資料に使う人も、evernote のアカウントを乗っ取られると、致命的になりそうだ。
 さらに、ネット銀行、Google アカウント、Lastpass などもある。これらは、普通の人にとっても、乗っ取られると致命的だ。
 これらのように「致命的になる」というアカウントの場合には、「人名」でなく、もっと強固なパスワードを使うべきだろう。なるべく乱数に近いパスワードが好ましい。
 本項末の 【 関連項目 】 を参照。



 [ 余談 ]
 「人名を使う」という方法を、私自身はやっているか? やっていない。
 ここで公開した方法を、私がやっていたら、パスワードを公開するのも同然だ。そんなことはしません。
 「自分でやっていない方法を推奨するな」という声も出そうだが、私は、物覚えが悪くはないので、「物覚えが悪い人向け」の話は、適用外だ。矛盾してはいない。



 【 関連項目 】
 「乱数に近くて覚えやすいパスワード」については、別項で論じた。
  → パスワード作成
  → パスワード作成 2

 他にも関連する情報。
  → Google のパスワード
  → LastPass(パスワード管理)

posted by 管理人 at 20:17| Comment(7) | コンピュータ_04 | 更新情報をチェックする
この記事へのコメント
やはり、二段階認証、ワンタイムパスワード、公開鍵認証あたりのシステムを導入した方が安心では?ユーザーがサービス運用側に導入を働きかける程度のことしかできませんが。
Posted by 作業員 at 2017年06月18日 21:34
 それは高齢者には無理。そもそも「パスワードの複雑化」さえもできない人向けの話です。
Posted by 管理人 at 2017年06月18日 23:06
それを言うなら、
”楽天のパスワードを忘れた。調べる方法ある?メールは使ったことないけど。”
とか、
”セットアップしてもらったパソコンだけどパスワードわかる?忘れちゃった。”
こういう場合の対応も教えてほしいです。こういった場合に自分の名前をパスワードにしておけばいいのでしょうか?ただ、IDにも名前を使っていてダブったらまずいような...
Posted by 作業員 at 2017年06月19日 16:34
> 楽天のパスワードを忘れた

 ボケ老人対策なら、息子などの家族がパスワード管理するしかないでしょう。
 本人が忘れてから教えるのでなく、本人が忘れる前に他の責任者が管理しておかないと。
Posted by 管理人 at 2017年06月19日 18:33
余計な話ですが、ボケ老人でなくともPCに疎いとそんな事例は珍しくないようです。メールは使わずに楽天で買い物するとか....商品が届いている限りメールは必要ないのかもしれませんが。

他にはスマホで楽天やAmazonにログインしたままとか...
Posted by 作業員 at 2017年06月19日 18:57
> ボケ老人でなくともPCに疎い

 対処は、ボケ老人と同様。まわりの人(家族)がしっかりしていないと。PCデポでだまされた高齢者の例もあった。
 買い物するなら、ネット手続きは家族が代行するべき。たいした手間じゃないんだし。
Posted by 管理人 at 2017年06月19日 19:32
私はこの方式に記号を足して使っています。
たとえば「+yamane+misuzu+」というように姓名の前後にプラスを挿入してパスワードにしています。
バレにくい上に「パスワードには必ず記号を含めてください」などの制約があることも多いので一石二鳥です。
Posted by 通りすがり at 2017年06月20日 08:43
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

  ※ コメントが掲載されるまで、時間がかかることがあります。

過去ログ