- 井上 みやび子
- すぐ使える株式会社 代表取締役
- 東京都
- Webエンジニア
対象:ITコンサルティング
- 服部 哲也
- (SEO WEBコンサルタント)
- 竹波 哲司
- (Webプロデューサー)
絶対忘れてはいけないパスワード(行政関係のサービスのパスワードなどで再発行してもらう手続きが面倒なもの)は紙に書いて鍵のかかる場所に保管しているが、会員限定の情報閲覧サイトなどは忘れたらそのたびにパスワード再発行手続きを取っている。たまにしか行かないサイトなどはログインの度に再発行してもらっている体たらくだ。
そこで、覚えやすいパスワードは何かを考えてみた。
「複雑」より「長い」と「変更する」が安全
考えられる文字列を総当たりするようなガチなパスワード破りの対策と考えると、「記号と数字を必ず入れて下さい」といった複雑なパスワードよりは文字列が長い事と頻繁に変更する事の方が重要だ。これは数学的な問題で決まってきます。
覚えやすく本人しか知らないパスワードは?
長くランダムな文字列を毎回考えたりそれを覚えたりするのは面倒(というか無理!)なので、「文字列が長い事と頻繁に変更する事」を両方実現するには、「本人しか知らず辞書にも載っておらずかつ本人には容易に覚えられる事/物」をパスワードにするしかない。
パスワードリマインダ(※1)の認証に「あなたのお母さんの旧姓は?」という質問に正しく答えられたらパスワードを教えてくれる、というものがあるが、これはなかなか良い。母親(もしくは父親)の旧姓は、「本人しか知らず、覚えやすい」という条件をクリアできる。
ただこの場合、「wada(和田)」や「abe(阿部)」など短すぎる場合があるのと、苗字を総当たりするような攻撃には耐えられない。
(※1 パスワードリマインダ=忘れたパスワードを再発行してくれるサービス)
という事でこれを応用してこういうのはどうだろう。
一番年上のいとこのフルネームは?
一番年下のいとこのフルネームは?
これだとよっぽど有名人でない限り本人と親戚しか知らない。
もし記号や大文字小文字を混ぜる必要があれば、「名字の頭だけ大文字にする」とか「最後の文字だけ大文字にする」「アイは数字の1に置き換える」などの基準を決めて変換すればよい。
手帳の片隅に
△△サイト: 2008-3-15 一番年上
○○サイト: 2008-10-20 一番年下
などと書いておいたものが人に見られてもそれで即パスワードが漏れる心配は無い。
セキュリティホールは自分
しかし決めたものをペラペラしゃべったり、ブログに書いたりしてはいけません。;->
パスワード漏えいの穴は自分自身である事も多いのです。