パスワードはどうやって作る? 安全のために工夫したいこと

News&Column

写真はイメージです

インターネットバンキングや通販サイトでの買い物など、ネット上の各種サービスを利用しようとすると、本人確認のためにIDやパスワードの設定を求められます。セキュリティーのことを考えれば同じパスワードの使い回しなどは避けたいものですが、そんなに多くのパスワードを使い分けられないと困ったことはありませんか。読売新聞の掲示板サイト「発言小町」には、「パスワードの覚え方、どうしています?」という投稿がありました。「安全なパスワードの作り方や覚え方」を、専門家に聞いてみました。

増える一方のパスワード、とても覚えきれない

このところ記憶力の減退が気になるトピ主の「エビフライ」さん。パソコンのログインから、ネットバンキングやクレジットカードの利用履歴の確認、スマートフォンの本人確認、動画サイトの閲覧、印鑑登録、ネット掲示板の投稿まで、いろいろなところでパスワードの設定を求められるようになったと実感しています。しかも、「同じパスワードを流用してはいけない」「(安全のために)定期的な変更を」と注意を促すサイトが多く、トピ主さんもできるだけそうした方針に沿うようにしてきました。このため、パスワードは増える一方。とても覚え切れません。自分の手帳に書き留めておくようにしていますが、「それでも大文字と小文字を間違えたり……。みなさんは、どう覚えていますか? パスワードを紙に書くってどうなんでしょうか?」と「発言小町」で問いかけました。

この投稿に20通を超える反響がありました。意外に多かったのが「紙派」です。

トピ主さんと同じように「記憶は無理」と考え、パスワード手帳を作るようになったというのは「midda」さん。パスワードをABC順に整理しており、今では100以上が記されています。「主人や子供たちにも(この手帳の存在は)伝えていて、『私に何かあれば、これで対処して』とお願いしています」

職場で定期的に変更を求められる

「もそもそ」さんの場合、職場で一定期間でのパスワード変更を求められるため、ノートの最後か最初のページに、パスワードを書いた付箋を貼って忘れないようにしているそう。また、プライベート用には、手のひらサイズのパスワード専用ノートを作り、重要書類などと一緒に保管しています。「GoogleやLINE関係は忘れてしまうと、機種変更をしたときなどに連絡先すら引き継げなくなるので困ります。しっかり控えていますよ」とコメントしています。

盗難・紛失すれば情報流出に

一方で、紙に書いて管理する方法に警鐘を鳴らす人も。「浮き輪」さんは「手帳は危険です。私は空き巣に入られたときにパスワード手帳を盗まれ、以来、パスワードを手帳や紙に書き記すやり方は一切やめました」と話します。「パスワードを書いた紙や手帳を紛失したり、空き巣などの盗難に遭ったりしたら……」と考えると、確かに危険性は高そうです。

SNSやメールなど自分のアカウントを乗っ取られたり、身に覚えのない買い物で経済的な被害に遭ったりしないためにも、日ごろからパスワードの安全性は高めておきたいものです。安全なパスワードの作り方について、ホームページ上で啓発活動をしている日本コンピューターサイエンス株式会社に聞いてみました。

同社の技術開発部の国定誠二さんは「当社では新入社員教育の一環として、入社後すぐに『パスワードの作り方、管理の仕方』を教えます。お客さまの機密情報や個人情報を大切にし、なりすましや経済的被害から守るためにも、ぜひ知っておくべきことなんです」と話します。

パスワードの不正利用はどのようにして起きるのでしょうか。ハッカーは、コンピューターを使って、考えられる全てのパターンのパスワードを解読する「ブルートフォースアタック(総当たり攻撃)」を仕掛けてきたり、辞書に載っている言葉をリスト化し、片っ端から照合する「辞書攻撃」と組み合わせたりすると考えられています。また、過去に漏えいした情報を取り引きするダークウェブ(闇市場)が存在し、ここを通じて、ハッカーはID、メールアドレス、パスワードなどのデータを購入し、そのデータを使い、金銭を搾取できるサイトに総当たり攻撃を仕掛けるとも言われています。

8桁以上、多様な文字と大文字・小文字を組み合わせる

このため、パスワードを作るときは、次の条件を満たすことを考えます。

<1> 必ず8桁以上にして、アルファベットの大文字・小文字、数字、できれば記号も含めた各文字を入れる

<2> 「123456」「abcdefgh」といった単純な並び文字、有名企業のロゴを連想する文字、「password」など連想ですぐわかってしまう文字は避ける

<3> メールアドレスの一部や電話番号、自分や家族の誕生日などの推測しやすい番号は使わない

<4> 個人と会社とは全く異なるパスワードを用意する

<5> 銀行や証券などの金融口座と、通販サイトで使うパスワードは必ず分ける

ベタベタの日本語、できれば方言がいい

写真はイメージです

「ハッカーは多くが海外にいて、英語が堪能です。これに対応するには、ベタベタの日本語、それも方言をアルファベット化したもののほうが有効なんです。例えば、夏目漱石の小説『吾輩は猫である』にちなんで、『IamaCat』というパスワードを付けるより、『WagahaiwaNekodearu』のほうが良いです。長すぎると思ったら『WhwNeko』のように一部にアレンジを加えたり、銀行名や証券会社名から連想する文字列などを足して、数字を設定すれば、より安全度の高いパスワードになります」と国定さん。

連想の仕方は、人それぞれですが、合併前の銀行名をイメージした3~4文字を付けたり、大型量販店がある場所にちなんだ「新宿→sinj」「有楽町→yur」を断片的につなぎ合わせたりすると、なかなか見破ることのできないパスワードになるといいます。

重要度で分けて管理をする

「苦労して付けたパスワードなら、記憶にもとどまりやすいはず。自分で考えたプロセスを覚えておけばいいんです」と国定さん。「こうした原則を知った上で、パスワードは運用してほしいのです。通販サイトでは、送付先の追加や買い物の記録が自動メールで送られてきます。これをチェックすれば自分の心当たりのない買い物かどうかがすぐわかり、通知やキャンセルもできます。そのような安心できる仕組みがあれば、私は通販サイトごとにはパスワードは変えていませんし、定期的な更新もしていません。むしろ、重要度が高い銀行や証券など金融機関関係と、職場で利用するエクセルやワードのパスワードは、それぞれ個別の種類を設定しています。機密性の高い情報をいかに漏らさないようにするか、戦略的に考えたいものです」と強調します。

最近は、ウェブページを画面に表示する各ブラウザーやソフトウェア会社から、パスワード管理の機能が提供されているので、それを使うことも一案だと言います。「本人を特定するために設定するのがパスワードです。GoogleやYahoo!でも、スマートフォンのショートメッセージで確認コードを受け取る2段階認証を実施していますので、これと合わせて、なりすましの被害に遭わないようにセキュリティーを高めておくことです。また、金融機関のATMの4桁の暗証番号が不安だという場合は、出金や振替の限度額や手続き可能時間を指定できる銀行もありますので、確認するといいですね」と国定さん。

気軽に利用できるインターネットサービスですが、他人から類推できないような安全度の高いパスワードを作ったうえで、どのサービスが必要か、不要か整理していった方がいいのかもしれません。

(読売新聞メディア局編集部 永原香代子)

【紹介したトピ】
パスワードの覚え方、どうしています?

【紹介したHP】
プライベートでの安全なパスワードのつくりかた、管理のしかた

あわせて読みたい