No258 パスワードをサービスごとに変える２０２２

「がんばりすぎないセキュリティ」では毎年パスワード管理について解説をしています。

前回はパスワードの使い回しが良くない理由を解説しました。
今回はそれを踏まえ、パスワードの作り方（実践編）として「えがおIT研究所メソッド」を紹介します。


1. パスワード管理機能／パスワード管理ソフトという手段

パスワードは重要な情報ですが、それ自体はサービスを使うためにやむを得ず使っている情報に過ぎません。
であれば、そんな本質的でないことに労力と時間を費やすのは物体ないという考え方もアリです。

そういった方には「パスワード管理機能／パスワード管理ソフト」の利用をおすすめします。

ここで言う「パスワード管理機能」はブラウザなどにオマケとして添付されているパスワード管理機能のこと、「パスワード管理ソフト」は独立したアプリのことを示します。

以前からChromeやSafariといったブラウザにはパスワードを覚えてくれる機能はありましたが、最近のパスワード管理機能は見違えるほど良くなっています。

例えば、以前は次のような制約がありました。

・パスワードはそのマシンの中に入っているため、そのパソコン(PC)が壊れたらそれまで。
・同じ理由でそのPCを使える人なら誰でもログインできてしまう。
・複数のPCやスマホ・タブレットなどでパスワードを共有する仕組みがない。

特にPCとスマホといった多数の機器でパスワードを共有できない点はかなり問題でしたが、最近のパスワード管理機能はずいぶん様変わりしています。

・おすすめパスワードを教えてくれる。
・同じパスワードやユルいパスワードを警告してくれる。
・パソコン（ＰＣ）でもスマホでもタブレットでもパスワードを共通で利用できる。
・一つのマスターパスワードを知らないと一切使えない。

こういった機能は以前は専用ソフト（パスワード管理ソフト）に一日の長がありましたが、最近はブラウザでも同様の機能が次々と実現されていて、これで十分ではないかと筆者などは感じています。

万能とも言えるパスワード管理機能／パスワード管理ソフトですが、当然ながらデメリットもあります。

最も大きなリスクは自身の情報資産の全てをパスワード管理元に預けることになる点です。
管理元からの情報漏洩などが起きた場合など、情報を自身でコントロールできなくなります。

とはいえ、これも考えようです。

どんな方法であっても、リスクゼロはありえません。
自身で大雑把な管理をするくらいなら、むしろプロが保全してくれる方が安心という考え方もありです。
この点は人によって考え方も違うだろうと思いますので、皆さんのお好みの方法で行ってください。

もっとも、筆者は古い人間で、自前でパスワードを作って管理する方が好きなんですけどね。

そうそう。パスワード管理ソフトを使うからといってすべてを委ねなくても良いのですよ。通常はパスワード管理ソフトに任せるけれど、重要なサービスではパスワードを手入力、という分別も良い選択です。

全てを自力でやるのは大変でも、管理対象を数個まで絞れば手運用も現実的ですから。


2. それでも自力でがんばりたい人のために

「がんばりすぎないセキュリティ」で「がんばりたい」ってのは自己矛盾ですが、気にしないことにしましょう。（笑）

さて、「いくら安全とはいえ人様に自分のパスワードを預けるのはちょっとなぁ」という方、筆者も同意見です。

上述の通り筆者は基本的に全パスワードを手作業で作っています。
もちろん、パスワードの使い回しはしていません。

そのパスワードの作り方ですが、大きく分けて２つの方法を使っています。

一つは16文字以下の短いパスワードを作る方式で、もう一つは長いパスワードを作る方式です。

わざわざ短いパスワードを作る理由は、サービス事業者側が12文字とか16文字のパスワードしか認めてくれない場合が今も残っているためです。

それぞれ、手順が必要なのですが、今回は長いパスワード（おおむね20文字以上）の作り方を解説します。


3. 覚えにくいパスワードから覚えやすいパスワードへ

どうしてパスワードを覚えられないのでしょうか？

「何をいまさら。あんな無意味な文字列を何十も覚えるなんて無理でしょ！？」

そうなんです。
パスワードと言えば、英字＋数字＋記号で無意味な文字列がベストとされてきました。

例えば
　K7q#3i6P
だとか
　h05-%vZDlt8w
といったものですね。

そのため、安全なパスワードの推奨パターンがガラリと変わってきています。
それは「３つ以上の単語をつないで20文字以上の長いパスワードにしましょう」というものです。

例えば
　happy-connect-typhoon-plastic
だとか
　polarbear-black-important
といったものです。

これって、それほど強いパスワードに見えませんよね？
ホントに大丈夫なのでしょうか？

パスワードを破ろうとする場合、攻撃者（＝犯罪者）側が何の前提情報も持たない場合はブルートフォース攻撃（力技攻撃）といって、すべての組み合わせをしらみつぶしに試そうとします。

組み合わせがたくさんあるほど、破られにくいパスワードと言われるのはこのためです。

では、最初に掲げた
　K7q#3i6P
と
　happyconnecttyphoonplastic

の場合でどちらが強いかを比較してみましょう。

１）ランダムな８文字
　文字種は英文字（５２種）＋数字（１０種）＋記号（１８種）としますと、
　80 x 80 x 80 x 80 x 80 x 80 x 80 x 80＝1,677,721,600,000,000
　ですので、約1600兆通り、

２）単語を４つつないだもの
　攻撃側は単語４つの組み合わせと知っているものと仮定します。
　小さな辞書でも５万語くらい収録されていますから、
　　50000x50000x50000x50000＝6,250,000,000,000,000,000
　ですので、625京通り（京は兆の1万倍）

意外かも知れませんが、ランダムな８文字より英単語を４つのパスワードの方が何千倍もの組み合わせになるのですね。
上述の通り、組み合わせが多い＝強いパスワードですから、英単語を４つならべたパスワードは十分に強いといえます。

また、単語は英単語でなくても構いません。日本語、フランス語、スペイン語といった別の言語の単語を組み合わせれば、さらに堅牢なパスワードとなります。


4. サービス毎にパスワードを替えても忘れない方法

さて、４つの単語をつなげば、十分に強いパスワードなることがわかりました。

問題は、サービス毎に異なるパスワードを設定し、それを忘れない方法です。

全くのランダムよりははるかに覚えやすいとはいえ、サービス毎に無意味に抽出した４つの単語を覚えるってのはやっぱり大変です。

筆者は４単語の選択方法を少し工夫することで、サービス毎にパスワードを変えているのに、そう簡単に忘れない方法というのを考案しました。

えがおIT研究所メソッド、すなわちSILメソッド（SIL:Smile IT Lab.)です。

以下では、この方式を解説します。


5. えがおIT研究所メソッド

パスワードの４単語のうち、２つを固定、２つはサービス毎に変えるものとします。
サービス毎に変える２単語は、ログインするサービス名からチョイスします。

A) あなたのお気に入りの単語を２つ決めます。
B) サービス名から任意の２文字を抜き取ります。
C) 上のB)で抜き取った文字２つをそれぞれで始まる単語に置き換えます。
D) お気に入りの２単語と上で作った２単語をつなぎます。
E) 最後にそのサービスの名前を付けます。

以上でサービス毎に必ず違ったパスワードが作れます。

文字だけではわかりにくいので具体例でいきましょう。

まずは、amazonのパスワードを作ってみましょう。

A) お気に入りの単語
　　・rainbow（虹）
　　・otoboke（おとぼけ）
　
B) サービス名から２文字を抜き取り
　　ここではa とz を抜き取ることにしましょう。
　　※この辺は皆さんのセンスで決めちゃってＯＫです。

C) それぞれで始まる単語を決める
　　a= aozora（青空）
　　z= zoid （そういう名前のオモチャがあります）

D) 上の４つをつなぎます。
　　rainbow-otoboke-aozora-zoid
 　※並び順も自分で決めてください

E) サービス名を最後に追加
　　rainbow-otoboke-aozora-zoid-amazon

これがamazonのパスワードになります。
なんと35文字もの長さのパスワードですが、そんなに覚えにくくは
ないですよね。


次にtwitterでいってみましょうか。

A) お気に入りの単語
　　・rainbow（虹）
　　・otoboke（おとぼけ）
　　※これは共通ですから同じものです。
　
B) ２文字を抜き取り
　　ここでは t と w にしてみます。

C) それぞれで始まる単語を決める
　　t= tantanmen（担々麺）
　　w= warmer（ウォーマー。暖房器具）

D) 上の４つをつなぎます。
　　rainbow-otoboke-tantanmen-warmer

E) サービス名を最後に追加
　　rainbow-otoboke-tantanmen-warmer-twitter

これがtwitterのパスワードになります。
今度は40文字越えでしかもローマ字が入ってたりして辞書アタック
（辞書に載ってる単語ばかりを狙った攻撃）にも強いパスワード
です。

３つ目はウォルマート(walmart）でいってみましょう。

A) お気に入りの単語
　　・rainbow（虹）
　　・otoboke（おとぼけ）
　　※これは共通ですから同じものです。
　
B) ２文字を抜き取り
　　ここでは w と a でいきましょうか。

C) それぞれで始まる単語を決める
　　w= warmer（ウォーマー。暖房器具）
　　a= aozora（青空）

D) 上の４つをつなぎます。
　　rainbow-otoboke-warmer-aozora

E) サービス名を最後に追加
　　rainbow-otoboke-warmer-aozora-walmart

これがwalmartのパスワードです。

ここで、w(warmer)やa(aozora)がwalmertの場合と、amazonやtwitterと同じなのに気付いた方、鋭いです。

これはサービス毎の２単語を忘れないための工夫です。
抜き取った文字が同じなら他のパスワードと同じ単語を流用するのです。

例えば、上で例示した３つのサービスなら
　a= aozora
　t= tantanmen
　w= warmer
　z= zoid 
となります。

つまり、最大でも26種類の単語をチョイスすれば、サービス毎に異なるパスワードを機械的に決めることができます。

これを自分用のアンチョコとして、スマホに入れておいても問題ありません。（もちろん手帳に手書きもＯＫです）
このアンチョコが仮に盗まれても、それだけではパスワードのルールはわかりませんから。

英大文字が必須の場合は例えば２つ目の単語を大文字にすればいけますし、数字や記号が必要なら例えば３つ目めの単語の直前に入れるルールにしておきます。

実際に筆者もこの方法でいろんなサービスのパスワードを作っており、かなりオススメできます。

みなさんも一度お試しください。


6. まとめ

安全にパスワードを使うには、２つの方法があります。

一つはパスワード管理ソフトを使って、有識者の知見をうまく使う方法、もう一つは自力でがんばる方法です。

現在のパスワード管理ソフトはホントに良くできていて、パスワードにまつわる問題のほとんどがクリアできるものになっています。パスワードで悩みたくない方にとっては福音でしょう。

一方、それでも外部にパスワードを預けるのは不安という方もおられます。（筆者もその一人です）
今回はそういう方に向け、忘れないパスワードの付け方として「えがおIT研究所メソッド(SILメソッド）をご紹介しました。

手前ミソですが、筆者自身もSILメソッドでサービス毎に違うパスワードを日常的に作っています。
皆さんも是非使ってみてください。

次回は、今回書けなかった短かいパスワードの作り方について解説をします。

次回もお楽しみに。

セミナーなどを通して皆さんが楽しく笑顔でITを利用いただくことを目指しています。 難しいセキュリティ技術をやさしく語ります。 
本Noteはメルマガ「がんばりすぎないセキュリティ」からの転載です。 
公式サイトは https://www.egao-it.com/ です。

(タグ #パスワードの作り方 #パスワードを使い回さない #SILメソッド)"