では、パスワードをどう作ったらよいのか?
現実的に起こるリスクを賢く避けましょう。
心配ばかりしても、きりが無いありません。ここは現実的に、個人レベルで「バスワード強度を高める」大原則に立ち返りましょう。
つまり
- 【推測されない文字列にする】・・・安易な、よく使われる文字列を避ける。
- 【文字数を長くする】・・・とにかく長いパスワードを使用する
ことにつきます。
「いったい何文字増やせばよいのか?」の正解はありません。
多数のコンピューターを使って時間をかけて高速処理して総当たりで調べれば、どんなパスワードも破られる可能性はあります。
しかし国家機密を扱うわけでもない、普通の人なら「過度に防御する必然性」はないです。
またほとんどのオンラインサービスやパソコン、スマホは「総当たり攻撃を防ぐ防御システム」も組み込まれています。
とはいえ、パソコンに詳しい人が「好奇心から解読できて、不正ログインを許してしまう」、8文字では明らかに少ないです。
では現実的に文字数は何文字ならパスワード強度は十分なのでしょうか?
政府の見解を見てみましょう。
総務省の「インターネットの安全・安心ハンドブック」の推奨見解は「パスワードは10文字」
パスワード強度については「1文字増やせば解読は100倍近く手間取る」と言われています。
総務省内閣サイバーセキュリティセンターの「インターネットの安全・安心ハンドブック」に参考になる記載があります。
要約しますと、
「英大文字小文字+数字+記号混じりの組み合わせるということは、
大文字アルファベット26通り
+アルファベット小文字26通り
+数字10通り
+記号26通り)
= 88通りの選択肢がある
数字10個だけ使ったパスワードだと、解読するためには100億通りの計算必要。
英大文字小文字+数字+記号の88通りすべてを使った10桁のパスワードだと
約 2785 京 97 兆 6009 億通り
よってログイン用パスワードは「英大文字・小文字+数字+記号の混在で 10 桁」を推奨。
■以上引用:総務省内閣サイバーセキュリティセンター
しかしいくらパスワード強度が高いとは言え、「英大文字・小文字+数字+記号の混在で 10 桁」なんて覚えられますか?
私は無理です。
パスワードの心配は忘れたい方へ~推奨のパスワードの設定方法
しかし、「半角英大文字・小文字+数字+記号の混在」なんて覚えられないですよね。
私のお勧めとしては今後5年10年のコンピューターの進歩を踏まえて
- 「最低14文字」できれば「それ以上」の長いパスワードがおすすめ。
- 無理にいろいろな文字列を使う必要はない
- 意味不明のパスワード作りは止めて、意味が通じる単語や文章を組み合わせた「パスフレーズ」を作る
です。これなら近い将来パスワードに代わる新たな認証方法が普及するまでの間、ずっと安心して使える強度があると考えています。
大切なパスワードはすべてこの原則通りの強度で設定して、ずっと使い続けたい」が、この文字数に落ち着いた理由です。
無理にいろいろな文字列を使わなくても済む、パスワードの作り方は以下のブログをご覧ください。
コンピューターの進歩によってパスワードの作り方の基準は変わっています。今では「8文字(8桁)のパスワードは弱くて危険」で「強いパスワードは定期的な変更は不要」が正しい考え方です。どうして8文字では危険なのか?最新の研究を元に、最強のパス[…]
パスワードには「使っただけで危険」な単語や、避けるべき文字の使い方。組み合わせ方があります。安全なパスワードのために「使ってはいけない言葉」「悪いパスワード例」「危険な単語」「危険な組み合わせ」を知りましょう。犯罪者は何十億ものパス[…]
「覚えるなんてとうてい無理」という方は?
「14文字なんてあり得ない、覚えられない」とお思いでしょうが、「英大文字・小文字+数字+記号の混在パスワード」なんて短くても覚えることはできません。
長くても記憶できるパスワードを作った方が楽ですし、作り方をマスターしたら14文字でも20文字でも平気になります。
しかし覚えやすいパスワードでも、10も20も記憶するのは不可能です。
ではどうしたら良いか?
その方法はパスワードマネージャー(パスワード管理ツール)を使うことです。当サイトでしっかりご説明します。
ちなみに私自身はパスワードマネージャー(パスワード管理ツール)を使うことを前提に「最低15文字」「重要アカウントは20文字以上」をルールとしています。
強固なパスワードをあなたに代わって生成し安全に保管し、入力も代行してくれる「パスワードマネージャー(パスワード管理ツール)」は、パスワードに関する悩みを解消するだけでなく、秘密情報の保管場所としても利用できる、まさに現代の必需品です。今[…]