|
インターネット上に流出しているパスワードの中には「123456」「abc123」という安易なものがあります。簡単に見破られずに済む「強いパスワード」をつくるにはどうしたらいいでしょう。 ※なお、当然のことですが、本項で紹介しているパスワードをそのまま使うことはやめてください。 |
安易なパスワード |
|
|
セキュリティ企業 Imperva が、情報流出の被害に遭ったパスワード 3200 万件を分析したところ、安易なパスワードの上位 10 位を公表した。 |
|
弱いパスワード |
|
|
前述の例は極端であるにしても、弱いパスワード、すなわち第三者が類推しやすいパスワードというものはあります。 独立行政法人情報処理推進機構(IPA)は、以下のようなパスワードを「弱い」としています。
|
|
対策 |
|
IPA は、パスワードの設定・管理方法として、以下の項目をあげています。
|
|
強いパスワードをつくる方法 |
|
|
強いパスワードを手っ取り早くつくりたいのであれば、パソコンのプログラムを使うことです。当サイトでも「PHP でパスワードを生成」でプログラムを照会しています。 ここでつくられるパスワードは乱数を使っているので、強いことは強いのですが、強すぎて人間が記憶するのが大変です。  そこで、パスワードより長い文字列パスフレーズを使って、パスワードを生成する方法をご紹介します。 まず、好きな言葉を頭に思い浮かべてください。単語ではなく、文節の長さのあるものです。これが「パスフレーズ」になります。 まず、パスワードをつくりたい場所に関連する言葉を思い浮かべます。ここでは、 ぱふぅ家のホームページという言葉を思い浮かべたとします。 次に、その言葉をローマ字または英語に置き換えてください。 pahookenohomepageこの文字列を前後反転します。 egapmohonekoohapこの処理は、1 文字おきに文字を取り除く(phoeooeae)、母音を取り除く(phknhmpg)という方法でも構いませんが、パスワードが短くなってしまうので、最初の言葉を長くしておく必要があります。 最後に、冒頭から 8 文字以降については、似た文字を数字や記号に置き換え(l→1、o→0、z→2、a→@)たり、アルファベットの並び順に a→1、b→2 ・・・ i→9 と数値に置き換えることを行います。 egapmohon5k0o8@pこれで 16 文字の英数記号混在のパスワードが出来上がりです。 これなら、パスフレーズと変化の方式だけ覚えておけば、少々時間はかかるものの、強いパスワードを幾つでも用意することができます。 試しに、パスワードの強さを測定するマイクロソフトの「パスワード チェッカー」でチェックしてみてください。「最強」となりましたね。 |
|
参考書籍 |
|
|
暗証番号はなぜ 4 桁なのか(岡嶋裕史/光文社/2005 年 9 月) セキュリティ全般に関する入門書である。パスワードから量子暗号まで、さまざまなセキュリティ対策について紹介しています。 本書が面白いのは、セキュリティ技術を評価・礼賛するのではなく、現実的なセキュリティ対策について語られているところです。たとえば、「量子暗号がカバーしてくれるのは通信経路だけ」と断った上で、クラッカーは「『そこから情報を盗めなくなったならコンピュータから直接奪うか』とか『やっぱり人を狙うのが一番だな』」(114 ページ)と、攻撃目標をシフトするだろうと指摘します。実際、いくらセキュリティを堅固にしても、きわめてアナログな経路で(紙や口伝で)情報が漏れてしまう事故が後を絶ちません。量子暗号を導入したとしても、その傾向は変わらないでしょう。 こうした事実をどのくらい理解しているか、経営者だけでなく、われわれ一人一人が認識しなければならない課題だと思います。 |
|
セキュリティはなぜ破られるのか(岡嶋裕史/講談社/2006 年 7 月) 「入り鉄砲と出女にセキュリティシステムの本質がある」(74 ページ)とは上手い表現です。外部からの攻撃に対処し、内部から大切なものが出ていかないように監視する――ファイアウォールのような境界線防御の基本です。 本書は、分かりやすい比喩や実例をまじえながらセキュリティの基本について解説しています。もちろん、セキュリティの限界をわきまえた上での解説となっています。 |
参考サイト |
|
|
|
(この項おわり)
|
|
|
|
|
2010年01月26日 作成
2010年01月26日 更新
Copyright by studio pahoo, (C)2010
(※)本ページはリンクフリーですが、複製・転載時にはご一報ください。 ★本ページへのご意見・ご質問・お便りは、ここをクリックしてください。 |
